伺服器配置不當引發的“血案”——論IT系統配置核查的重要性
8月7日,美國又爆發一起工業關鍵基礎設施資料洩露案——德州電氣工程公司Power Quality Engineering(PQE)的Rsync伺服器由於配置錯誤(一個埠配置為網際網路公開),大量客戶機密檔案洩露,包括戴爾Dell、奧斯丁城City of Austin、甲骨文Oracle以及德州儀器Texas Instruments等等。
洩露的資料除了暴露出客戶電氣系統的薄弱環節和故障點外,還揭露了政府運營的絕密情報傳輸區的具體位置和配置。更危險的是,PQE內部密碼被明文儲存在資料夾中,如果落入不法分子之手,就能輕易攻破公司的多個系統。真是細思恐極啊!
洩露資料揭祕
2017年7月6日, UpGuard 的網路風險研究主任Chris Vickery發現了一個開放埠,可以在一個IP地址接收資料包,當進入到command-line介面時,返回了一個完全可下載的資料庫。其中包括了諸如“客戶”、“使用者”等資料夾。Vickery從中下載了205G的部分資料,並於7月8日通知了PQE公司。公司隨即將其系統加密。
這個將系統公開於眾的開放埠——873——是用來進行Rsync(遠端同步備份)的預設埠。Rsync它是一個命令列程式, 允許將資料輕鬆、快速地複製到另一臺機器上。雖然IT管理員可以通過使用Rsync的“主機允許/拒絕”功能輕鬆地限制通過此埠訪問系統的ip地址。但是這在配置完Rsync後需要進行一個額外步驟。故而雖然操作簡單,但由於是預設開放的,很容易就被IT人員遺漏。
在暴露的主目錄中的“客戶”資料夾中,存在著一系列以知名公司和公共部門命名的資料夾,例如計算機制造商戴爾, 軟體巨頭甲骨文, 電信運營商SBC, 和半導體制造商飛思卡爾以及德州儀器等等。
這些資料包括各類報告以及客戶電力基礎設施弱點的紅外影象。此類紅外線研究及其相關報告顯示了客戶能源基礎設施的檢查結果。
更引人注目的是 Dell 資料夾6807的內容, 其中有一份標有 “中央情報局No. 6/9″ 的文件, 這揭露了一個令人吃驚的現象,可以看出委託給第三方供應商的資料有多敏感。這份文件來自中央情報局,其中”敏感資訊設施的物理安全標準” 詳細描寫了在許多隱祕地點的安裝和配置資訊。
除了這些報告外,其他的客戶(如City of Austin)重要資料也包含其中, 包括太陽場示意圖、電氣間隙分析、未來建築建議、當地機場的航空斷路器檢查報告、市政燃料系統維修報告以及 “危險作業報告”。下面的報告說明了奧斯汀能源沙丘能源中心的詳細風險表徵表和示意圖。
IT系統配置不當危害無窮
如今,一個配置不當的伺服器造成的損失有多大?對於許多企業來說,代價可能超過整個業務的價值。不知道你們是否聽說過騎士資本(Knight Capital), 這是一個雄心勃勃的全球金融服務公司, 是美國最大的股票交易商, 在紐約證交所和納斯達克的 17%, 平均每天交易量超過33億交易和210億美元。在 2012年8月1日, 未經測試的軟體被手動部署到生產環境中, 觸發了駐留在其中一個伺服器上的過時功能,導致成批的訂單被錯誤處理。後果是毀滅性的: 該公司在45分鐘內遭受了4.6億美元的損失。
“騎士資本”可能是迄今為止損失最大的案例, 但它不是唯一由於IT系統配置不當栽了跟頭的公司。線上零售巨頭 Amazon.com 最近遭受13分鐘的停機, 導致2,646,501美元的收入損失;同樣, 西南航空公司2016的計算機系統故障導致2000架次航班被取消和延誤, 損失的成本在54美元和8200萬美元之間。
很難想象錯誤的配置和環境的不一致會產生如此毀滅性的結果, 但這是事實。在許多情況下, 配置不當是罪魁禍首, 正確的檢測和管理對於防止操作災難降臨企業是至關重要的。
隨著時間的推移, IT 系統及其配置必然會陷入無序狀態。正如熱力學第二定律所規定的那樣, 萬物皆是如此。測試、程式碼更改、伺服器補丁和其他活動導致測試/預生產環境和生產環境配置不一致在IT系統中是司空見慣的。
如果對這些不一致置之不理, 這些對環境軟硬體的持續更改將導致效能下降、意外宕機、資料丟失、網路安全事件和資料洩露。如果不瞭解環境中發生的更改 (例如, 軟硬體變更沒有系統地進行可靠地跟蹤), 則系統恢復時間 (或平均修復時間MTTR) 在服務中斷時會急劇增加。對於那些以百萬美元每分鐘計算停機時間的企業來說, 每秒都有價值連城的: 最近對世界500企業的IDC 調查顯示, 一個關鍵應用錯誤的平均成本為每小時50萬到100萬美元。
配置核查至關重要
資訊系統配置操作是否安全是安全風險的重要方面,安全配置錯誤一般是人員操作失誤導致,而滿足大量資訊系統裝置的安全配置要求,對人員業務水平、技術水平要求相對較高,所以一些行業和大型企業制定了針對自身業務系統特點的配置檢查Checklist和操作指南,而國務院《中華人民共和國計算機資訊系統安全保護條例》(147號令)以及公安部頒佈的一系列資訊保安等級保護標準,也明確了資訊系統安全等級保護測評的綱領性要求。
行業規範和等級保護綱領性規範要求讓運維人員有了檢查安全風險的標杆,但是面對網路中種類繁雜、數量眾多的裝置和軟體,運維人員需要花費大量的時間和精力來檢查裝置、收集資料、製作和稽核風險報告,以識別各項不符合安全規範要求的系統。如何快速有效的在新業務系統上實現上線安全檢查、第三方入網安全檢查、合規安全檢查(上級檢查)、日常安全檢查等全方位裝置檢查,又如何集中收集核查的結果,以及製作風險稽核報告,並且最終識別那些與安全規範不符合的專案,以達到整改合規的要求,這些是網路運維人員面臨的新的難題。
綠盟安全配置核查利器
在此背景下,綠盟科技推出了專用檢查工具——綠盟安全配置核查系統(NSFOCUS Benchmark Verification System, 簡稱:NSFOCUS BVS)系列產品。該產品基於綠盟科技多年安全服務和等級保護實施的經驗積累,形成完善的安全配置知識庫,該知識庫涵蓋了作業系統、網路裝置、資料庫、中介軟體等多類裝置及系統的安全配置加固建議,通過該知識庫可以全面的指導IT資訊系統的安全配置及加固工作。特別是通過該產品能夠採用機器語言,自動化的進行安全配置檢查,從而節省傳統的手動單點安全配置檢查的時間,並避免傳統人工檢查方式所帶來的失誤風險,同時能夠出具詳細的檢測報告。它可以大大提高您檢查結果的準確性和合規性,節省您的時間成本,讓檢查工作變得簡單。
- 豐富、權威的安全配置檢查知識庫,經過NSFOCUS安全團隊實踐考驗,為業務系統安全配置檢查及加固提供專業指導。
- 結合等級保護進行安全配置檢查,圍繞等保定級開展業務系統資產管理、安全配置檢查、安全配置報告和建議,保障等級保護工作準確高效執行。
- 結合授權認證系統自動化安全配置檢查,減少人員維護業務系統賬號的工作量,減少失誤帶來的賬號資訊洩露風險,提供安全配置檢查工作效率。
- 多種部署和管理方式,簡單的嵌入到安全管理體系中,併為集中安全管理系統提供基礎資料,為安全管理提供全面準確的安全配置風險依據。
安全配置合規性要求,是IT業務系統安全性的基本安全要求,對各行各業安全規範要求的落地、對等級保護要求的具體化,建立和行之有效的檢測手段是安全管理人員面臨的最為重要和迫切的問題,也需要安全廠商要積極提供自動化的解決方案,幫助運維人員面對網路中種類繁雜、數量眾多的裝置和軟體環境,快速、有效的檢查裝置,進行自動化的安全檢查,以及製作風險稽核報告,並且最終識別那些與安全規範不符合的專案,以達到整改合規的要求。
原文地址:http://blog.nsfocus.net/sever-configuration-verification-importance/