网络安全十大坑，坑坑致命！

网络安全专家正在承受巨大的压力!就在最近几周，我们发现了基于硬件芯片的两个重漏洞——“Meltdown”和“Spectre”;此外，来自民族国家的黑客行为依然没有放缓的趋势，这不禁会让人担心美国是否有能力确保“中期选举”的安全进行。

(*美国中期选举——11月份将举行美国中期选举，即在总统任期过半时刻举行的议会选举，参议院三分之一的席位和众议院全部议席都将更换，其结果往往会改变府院权力平衡。从以往惯例来看，如果是共和党人任总统，所获权力往往大于民主党人，不过鉴于对特朗普的评价糟糕，局势或将出现更大逆转。除了政治较量，中期选举也是对特朗普执政成绩的评判，同时也是两党冲向2020年大选的发令枪)

而现在，即便是基础环节也可能会出错，就像上周在拉斯维加斯举办的2018年全球消费电子展(CES)上，全球各地科技公司研发的各种最先进的高科技产品纷纷亮相，然而一次断电事故却让整个展览几乎陷入瘫痪状态。

安全事故最直观的后果就是巨额的经济损失，据Ponemon估计，2017年违规事件的平均成本高达362万美元，但是对于企业而言，攻击带来的成本损失远非财务数据而已，对于品牌和公众信任方面造成的损失更是难以预计。

而对于企业而言，最容易忽略的可能就是一些显而易见的安全缺陷，例如，你可能很早就考虑过要为公司的数据中心配置一台备用发电机，但是行动上却忽略遗忘了。

[[224557]]

在与3位安全专家(SANS研究所新兴安全趋势总监John Pescatore、希腊INTRALOT集团安全主管Christos Dimitriadis以及ESET高级安全研究员Stephen Cobb)进行交谈之后，我们总结了企业最容易忽略的网络安全10大坑，事实证明，想要确保安枕无忧我们还有很长一段路需要走。

网络安全10大坑

1. 不启用DMARC来对抗网络钓鱼攻击

安全专家建议电子邮件/信息传递系统管理员使用DMARC协议进行电子邮件认证。

原始的SMTP没有要求验证发件人的合法性，DMARC的核心思想是邮件的发送方通过特定方式(DNS)公开标明自己会用到的发件服务器(SPF)，并对发出的邮件内容进行签名(DKIM)，而邮件的接受方则检查收到的邮件是否来自发送方授权过的服务器，并且核对签名是否有效，从而有效避免伪造的钓鱼邮件进入用户的收件箱。

启用DMARC协议是防御钓鱼邮件最广为人知的方式之一，但是电子邮件安保公司Agari最近发布了的一份最新研究报告却显示，在“财富500强”企业中，三分之二(67%)的企业没有发表过任何的DMARC政策，低于十分之一的企业开启了DMARC功能，这其中只有百分之三实施了垃圾邮件的隔离政策、百分之五实施了拒绝政策。垂直行业中，商务服务(60%)、金融(57%)、技术(55%)和交通(53%)使用DMARC的比率相对较高。

2. 对可疑的DNS调用缺乏足够重视

打击网络钓鱼攻击另一种较为有效的方法就是更多地关注DNS调用的情况。例如，用户可能会收到一封电子邮件，告诉他们已经赢得了一项大奖或有权获取一份免费产品。

一旦用户在点击电子邮件中的链接后发现系统会进行DNS调用，那么就说明该网站很有可能是恶意的。

安全管理人员现在正在使用诸如Cisco Umbrella、Infoblox或Nominum等工具，如此一来，一旦用户被诱骗打开恶意链接，控制器将会停止DNS调用，并向用户发送他们已经点击恶意站点的警告信息。

3. 员工离开公司时仅删除Active Directory帐户

[[224558]]

当人力资源通知你有员工已经离开公司时，你不能只是简单地将该用户的账户从Active Directory中删除。如今，一名企业员工可能会拥有Google、Salesforce以及其他多达十几个帐户来实现工资单、时间表、差旅、工作任务以及项目管理等功能。

由于这些账户位于云端，员工所需要的只是网络访问，而不再需要通过企业科学来获得访问权限，因此那些离开公司的员工便能够更为轻松地访问这些账户。所以，一定要记得删除所有离职员工的各类账户。

4. 忽视供应链安全

[[224559]]

安全专家由于过度地将目光锁定在自身网络上，而往往忽略了大局。ISACA(国际信息系统审计协会)和其他安全组织建议安全分析师对其风险状况进行更全面的关注。这包括关注服务提供商、其他第三方和各种供应商的安全。

现在，许多公司现在使用诸如BitSight、QuadMetrics以及SecurityScorecard等工具对其供应商进行安全检查。

5. 没有利用漏洞悬赏项目来发现软件漏洞

[[224560]]

安全专家总是在谈论如何将安全性融入到代码开发过程之中，但是当企业退后一步，去了解他们真正需要做什么时，却发现这一目标实际上很难实现。对于软件开发初学者来说，通常需要花费大量的时间进行再培训才能学会如何编码。

但是，一些公司已经意识到他们的产品必须更加安全，因此已经开始在HackerOne和Bugcrowd这样的漏洞悬赏平台上推出了自己的漏洞悬赏项目，邀请更多技能超群的黑客对他们正在开发的产品进行漏洞测试。

这种项目可能并不完美，无法从根本上避免漏洞的存在，但是它至少可以让软件开发商了解一些更为明显的漏洞，以便在其产品出厂之前将其修复。

6. 未能自动化防火墙配置管理工具

[[224561]]

安全专业人员似乎应该把注意力放在防火墙配置管理上，但要记住，设备能力再强，如果用不好也没有意义。那么什么是防火墙管理的最大难题?

答案是防火墙的安全策略管理。

著名安全管理公司Skybox对北美/欧洲209家大中型企业调查的结果显示：“58%的企业，每台FW部署超过100条策略;平均每月有超过270次的策略变更;90%的管理员认为他们的防火墙存在不必要的策略，造成性能问题和安全隐患”。

所以，解决这一问题必须实现防火墙配置管理自动化，对此，像Algosec、Firemon、Puppet、Tufin以及Titania等工具都可以提供帮助。

7. 打补丁不够认真

[[224562]]

安全专家正在努力修补漏洞，这么说似乎没错，但是安全团队发现想要让IT运营更快地打补丁需要进行很多工作，这就是为什么这么多企业没有真正做到这一点(补丁修复)的原因所在。

安全专家需要与他们的质量控制和工程部门更好地协调他们的补丁计划，并利用廉价的IaaS云服务在运行补丁程序之前快速地运行测试，以确保补丁会话不会降低网络或应用程序的速度。

8. 忽略来自内部的威胁

[[224563]]

虽然公司将大部分安全工作的重点放在网络犯罪分子和民族国家间谍组织等外部威胁上，但内部人员的威胁依然存在。据Forrester Research调查发现，全球58%的企业在过去12个月中至少遇到一次违规行为，其中50%的企业至少遭受过一次由内部人员造成的违规行为。

数据丢失预防软件可以帮助企业防止由内部人员造成的数据泄露事件，此外，关注员工的行为对于防止内部威胁也是存在意义的。尽量密切关注哪些员工是开心的，哪些员工可能是不满的，并有可能窃取数据的。

9. 对影子IT失去控制

[[224564]]

影子IT是指那些不在企业IT部门掌控下的IT 设备、软件及服务。IDC调查指出，影子IT形成的两大主因包括：IT供应商的推广延伸至商业用户，以及业务流程主管要求加快IT项目的进度。

如今，影子IT已经成为一个备受关注的话题，而对于IT部门来说，该问题仍然是一个真正的挑战。

事实上，Gartner发现，到2017年，38%的IT采购将由业务部门(line-of-business，简称LOB)领导者完成。这将导致IT和安全分析师在如何保持组织安全方面摸不着头脑。如果你甚至不知道一些东西的存在，谈何保护这些东西。

解决这一问题需要投入大量的教育培训，以及善于向业务部门解释技术问题的人员。

10. 把一些基础问题视为理所当然

[[224565]]

你想过2018年如果没有电，世界会怎样?考虑到上周在拉斯维加斯举行的消费电子展上发生的断电事件，这一设想是完全有可能发生的。

配置多余的不间断电源(UPS)和备份发电机应该是必不可少的环节，但是由于所有的数据都分布在你的网络上，所以检查硬件清单也是非常有必要的，此外，还要确保你的备份发电设备能够提供足够的电量来运行你所有的服务器和设备。