最后更新于2021年4月7日(星期三)18:32:09 GMT
我最喜欢的圣诞颂歌之一是 圣诞节的12天. 早在90年代,这首歌的讽刺作品就以 圣诞节的12个痛苦这句话让我笑得在地板上打滚,直到现在. 既然我是从事信息安全工作的, 我决定是时候创作一部新的讽刺作品了, 也许这将开启一个新的传统, 所以我来做演讲, 信息安全的12个痛苦.
在信息安全中,让我头疼的第一件事就是你的密码策略
信息安全中让我头疼的第二件事是默认凭证, 还有你的密码策略
在信息安全领域,第三件让我感到痛苦的事情是上当受骗, 默认凭证, 还有你的密码策略
信息安全中让我头疼的第四个问题是补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
信息安全中让我头疼的第五个问题是窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
信息安全中让我感到痛苦的第六件事是缺乏输入过滤, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
对我来说,信息安全中最痛苦的第七件事是没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
信息安全中令我头疼的第八件事是本地管理员用户, 没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
对我来说,信息安全的第九大问题是缺乏管理支持, 用户作为本地管理员, 没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
对我来说,信息安全中最痛苦的第十件事是合规测试, 缺乏管理支持, 用户作为本地管理员, 没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
对我来说,信息安全中最痛苦的第11件事是没有资产管理, 遵从性测试, 缺乏管理支持, 用户作为本地管理员, 没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
对我来说,信息安全中最痛苦的第12件事是对杀毒软件的信任, 无资产管理, 遵从性测试, 缺乏管理支持, 用户作为本地管理员, 没有监控, 缺少输入滤波, 窗户。 XP, 补丁管理, 上当受骗, 默认凭证, 还有你的密码策略
在信息安全中,让我头疼的第一件事就是你的密码策略
当我进入组织进行渗透测试时, 最简单的方法之一就是猜密码. 大多数组织使用8个字符的密码策略, 复杂性开启, 每90天换一次. 那么,用户怎么做呢? 他们想出了一个简单易记的密码,永远不会重复. 是的,我说的是臭名昭著的冬天或季节和年份的变化. 如果他们没有使用该密码,那么很可能是同样简单的密码. 而不是, 设置更长的密码要求(12个字符及以上)和黑名单常用词, 比如密码, 季节, 个月, 公司名称.
信息安全中让我头疼的第二件事是默认凭证
我看到的下一个最常见的发现是无法更改默认凭据. 这是一个非常简单的错误,但却会让你的组织付出巨大的代价! 这不仅适用于JBOSS和Tomcat这样的web应用程序,也适用于嵌入式设备. 打印机和其他嵌入式设备是一个很好的目标,因为默认凭证通常不会更改. 它们通常持有其他系统的凭据,以帮助获得访问权限,或者只是用作攻击其他系统的支点.
在信息安全领域,第三件让我感到痛苦的事情是上当受骗
恶意行为者瞄准最薄弱的环节. 通常是用户. 发送精心制作的网络钓鱼邮件几乎100%成功. 事实上,甚至许多安全专业人员也成为了网络钓鱼邮件的受害者. 那么,我们能做些什么呢? 好吧, 我们必须定期培训员工发现网络钓鱼企图,并鼓励和奖励他们提醒安全人员注意网络钓鱼企图. 一旦举报,将恶意URL添加到您的黑名单中,并重定向到钓鱼教育页面. 看在上帝的份上, 安全部门, 在以“教育”的名义转发之前,请禁用链接并删除邮件中的任何标签。.
信息安全中让我头疼的第四个问题是补丁管理
外面有很多系统. 要给它们全部打补丁是很困难的,但是有一个好的补丁管理过程是必不可少的. 确保我们的系统是最新的补丁将有助于保护这些系统免受已知的攻击. 需要应用的不仅仅是操作系统补丁, 也适用于您已安装的任何软件.
信息安全中让我头疼的第五个问题是窗户。 XP
哦,窗户。 XP,我是多么地爱你又恨你. 尽管窗户。 XP的支持在2014年就像渡渡鸟一样,超过2.5年后,我仍然看到它在企业环境中被使用. 我喊出了窗户。 XP, 窗户。 2000并不少见, 窗户。 Server 2003, 以及其他不受支持的操作系统软件. 虽然这些操作系统的一些问题已经得到了缓解, 例如MS08_067, 许多地方没有贴补丁,也没有采取缓解措施. 这还不包括存在的未知安全漏洞,而且永远不会被修补. 最好的办法是升级到受支持的操作系统. 如果由于某些原因不能(所需的软件不能在较新的操作系统上运行), 隔离网络以防止访问不受支持的系统.
信息安全中让我感到痛苦的第六件事是缺乏输入过滤
我们都知道并热爱OWASP前10名. 前十名中有三个都在这个痛苦中. 跨站点脚本(XSS), SQL注入(SQLi), HTML注入, 命令注入, 和HTML重定向都是可以完全解决的漏洞, 或者至少在XSS的情况下是部分的, 带输入滤波. 执行输入过滤的Web应用程序将删除不良字符, 只允许好的字符出现, 并不是在客户端执行输入过滤, 但是在服务器端. 然后使用输出编码/过滤,XSS也得到了纠正.
对我来说,信息安全中最痛苦的第七件事是没有监控
In 1974, 穆罕默德·阿里在谈到即将到来的与乔治·福尔曼的比赛时说:“他的手打不到他眼睛看不见的东西。. 这句话在信息安全领域也同样适用. 你不能为你看不见的东西辩护. 如果您没有在网络中执行监视, 集中监控,以便您可以协作日志, 你会错过攻击. 博士. 埃里克·科尔说:“预防是理想的,但检测是关键.“这对审查日志也很重要, 这意味着你需要知道自己在寻找什么的优秀人才, 不仅仅是好的监控软件.
信息安全中令我头疼的第八件事是本地管理员用户
尽管多年来我们一直建议隔离用户权限, 然而,我执行的几乎每次渗透测试都发现这是一个问题. 将帐户的使用限制在完成其工作所需的范围内是非常困难的, 但对于保护您的环境至关重要. 这意味着不给所有用户提供本地管理员权限,而是使用单独的帐户来管理域, 限制特权帐户的数量, 并监控这些账户和群组成员的使用情况.
对我来说,信息安全的第九大问题是缺乏管理支持
我经常遇到想要改变或改变他们的人际关系的人吗, 然而,他们并没有得到高层管理人员所需的支持? 很多! 有时,令人大开眼界的渗透测试会产生奇迹.
对我来说,信息安全中最痛苦的第十件事是合规测试
我明白了, 某些行业需要特定的指导方针来显示适当的安全性, 但是当您仅仅为了遵从性而进行测试时, 你这是在伤害你的组织. 当您试图在测试期间限制测试范围或系统防火墙时, 你在用眼罩蒙住眼睛, 也不能指望保护你的数据. 而不是, 利用测试需求来满足法规遵循,从而获得更多的管理支持,并在组织中实施真正的变更.
对我来说,信息安全中最痛苦的第11件事是没有资产管理
你无法保护你不知道的东西. 在这方面,采用资产管理系统. 知道你有什么设备以及它们的位置. 知道你有什么软件,它们处于什么补丁级别. 我不能告诉你有多少次我利用了一个系统,我的客户说:“那是什么? 我不认为那是我们的。”, 结果发现那是他们的系统, 他们只是没有很好的资产管理.
对我来说,信息安全中最痛苦的第12件事是对杀毒软件的信任
几年前, 我读到杀毒软件只有30%的效率, 导致杀毒软件死亡的头条新闻, 然而,它仍然存在. 这是否意味着它可以有效地阻止计算机上的感染? No. 经常有人问我:“我应该为我的电脑买什么最好的防病毒软件??我的回答通常是使用免费的杀毒软件,比如Microsoft Security Essentials, 但是要小心你上网的地方和你点击的内容. 反病毒软件将捕获已知的威胁, 所以我相信它仍然有一些优点, 尤其是对那些不懂电脑的亲戚来说, 但最好的保护是小心谨慎. 为Flash和Java打开“点击播放”(如果无法移除Java). 小心你点击的东西. 打开广告拦截器. 在安全领域没有单一的“银弹”可以拯救你. 这是一种技术和意识的分层.
我希望你喜欢这首歌,谁知道呢,也许有人会录下这首歌的视频! (不是我!不管你在这个季节庆祝什么节日,祝你过得愉快. 祝2017年更安全,这样我明年就不用写新歌了. 也许“我梦想着一个安全的物联网”是合适的.
