外部の脅威から保護する

前のコラムで、環境が直面しているコンピューターセキュリティの脅威の大部分がクライアント側に存在し、エンドユーザーの関与が必要であることを明らかにしました。ユーザーは、デスクトップ上のアイテム(電子メール、添付ファイル、URL、またはアプリケーション)をクリックするようにソーシャルエンジニアリングされている必要があります。これは、真にリモートのエクスプロイトが脅威ではないということではありません。彼らです。

[Roger Grimesのコラムがブログになりました!SecurityAdviserブログから最新のITセキュリティニュースを入手してください。]

リモートバッファオーバーフローとDoS攻撃は、制御下にあるコンピュータに対する深刻な脅威であり続けます。それらはクライアント側の攻撃ほど一般的ではありませんが、リモートの攻撃者がコンピュータに対して一連のバイトを起動し、それらを制御できるという考えは、常に管理者に最大の恐怖をもたらし、最大の見出しをキャプチャします。しかし、リスニングサービスやデーモンに対する他の種類のリモート攻撃もあります。

リモートエクスプロイトのガントレット

多くのサービスとデーモンは、MitM(中間者)攻撃と盗聴の対象になります。あまりにも多くのサービスは、エンドポイント認証を必要とせず、暗号化を使用しません。盗聴を使用すると、権限のない当事者がログオン資格情報や機密情報を知ることができます。

不適切な情報開示は別の脅威です。あなたのがらくたを怖がらせるのにほんの少しのグーグルハッキングが必要です。ログオン資格情報はプレーンビューで見つかります。実際の極秘文書や機密文書を見つけるまで、それほど長くはかかりません。

多くのサービスとデーモンは誤って構成されていることが多く、インターネットからの匿名の特権アクセスを許可しています。昨年、Googleハッキングのクラスを教えていたときに、インターネット上でアクセス可能な(米国)州の健康と社会福祉のデータベース全体を見つけました。ログオン資格情報は必要ありません。これには、名前、社会保障番号、電話番号、住所など、なりすまし犯罪者が成功するために必要なすべてのものが含まれていました。

多くのサービスとデーモンはパッチが適用されていないままですが、インターネットに公開されています。先週、データベースセキュリティの専門家であるDavid Litchfieldが、ファイアウォールで保護されていないインターネット上のパッチが適用されていない数百から数千のMicrosoft SQLServerおよびOracleデータベースを発見しました。3年以上前に修正された脆弱性のパッチがないものもありました。一部の新しいオペレーティングシステムは、古いライブラリと脆弱なバイナリとともに意図的にリリースされています。ベンダーが提供する必要のあるすべてのパッチをダウンロードできますが、それでも悪用可能です。

あなたは何ができますか?

*ネットワークのインベントリを作成し、各コンピューターで実行されているすべてのリスニングサービスとデーモンのリストを取得します。 

*不要なサービスを無効にして削除します。ITサポートチームが知らなかった大量の不要な(そしてしばしば悪意のある、または少なくとも潜在的に危険な)サービスを実行しなかったネットワークをまだスキャンしていません。

高リスクで高価値の資産から始めます。サービスまたはデーモンが必要ない場合は、オフにします。疑わしい場合は、調べてください。インターネット上には無料で利用できる役立つリソースやガイドがたくさんあります。明確な答えが見つからない場合は、ベンダーに連絡してください。それでもわからない場合は、プログラムを無効にして、何かが壊れてしまった場合は復元してください。

* OSとアプリケーションの両方で、すべてのシステムに完全にパッチが適用されていることを確認してください。この1つの手順により、悪用される可能性のある適切に構成されたサービスの数が大幅に削減されます。ほとんどの管理者は、OSパッチを適用する優れた仕事をしていますが、アプリケーションにパッチが適用されていることを確認することもできません。この特定のコラムでは、リスニングサービスを実行するアプリケーションにパッチを適用することだけに関心があります。

*残りのサービスとデーモンが最小特権のコンテキストで実行されていることを確認してください。ルート管理者またはドメイン管理者としてすべてのサービスを実行する時代は終わりに近づいているはずです。より限定されたサービスアカウントを作成して使用します。 Windowsでは、特権の高いアカウントを使用する必要がある場合は、ドメイン管理者ではなくLocalSystemを使用してください。一般に信じられていることとは異なり、LocalSystemでサービスを実行する方が、ドメイン管理者として実行するよりもリスクが低くなります。 LocalSystemには、ActiveDirectoryフォレスト全体で取得して使用できるパスワードがありません。

*すべてのサービス/デーモンアカウントで強力なパスワードを使用する必要があります。これは、15文字以上の長いおよび/または複雑なことを意味します。強力なパスワードを使用する場合は、パスワードを変更する頻度が少なくなり、アカウントのロックアウトは必要ありません(ハッカーが成功することは決してないため)。

*グーグル-あなた自身のネットワークをハックします。ネットワークが機密情報を公開しているかどうかを確認することは決して害にはなりません。私のお気に入りのツールの1つは、FoundstoneのSiteDiggerです。これは基本的にGoogleハッキングプロセスを自動化し、Foundstone独自のチェックの多くを追加します。

*デフォルトのポートで絶対に必要でない場合は、デフォルト以外のポートにサービスをインストールします。これは私のお気に入りの推奨事項の1つです。 SSHをポート22以外に配置します。RDPを3389以外に配置します。FTPを除いて、ハッカーがめったに使用しないデフォルト以外のポートでほとんどのサービス(一般の人は必要ありません)を実行できました。それらを見つけます。

もちろん、無料または商用の脆弱性分析スキャナーを使用してネットワークをテストすることを検討してください。ぶら下がっている果物を見つける多くの優れたものがあります。常に最初に管理権限を持ち、営業時間外にテストし、スキャン中に重要なサービスをオフラインでノックする可能性があるというリスクを受け入れます。本当に妄想的で、公開されている脆弱性を乗り越えたい場合は、ファザーを使用して、公開されていないゼロデイエクスプロイトを探してください。私は最近、さまざまなセキュリティアプライアンスに対してコマーシャルを試しています(レビューのためにテストセンターに注目してください)。ファザーは、ベンダーが知らないと思われるものを見つけています。

そしてもちろん、悪意のあるエクスプロイトのリスクは主にクライアント側の攻撃に起因することを忘れないでください。