技術支援
文件
登錄
聯繫我們
網路安全懸而未決
若昂·科雷亞
實施期間: 2023年1月25 日 - TuxCare專家團隊
在 去年開始播出的一個虛構電視節目中,一名間諜因在公共火車上忘記了一些機密情報檔而失寵。這些檔載有一份在國外臥底工作的間諜名單,非常重要。
在上周的“現實模仿電視”時刻,屬於美國航空公司CommuteAir的一台安全不當的伺服器留下了一份包含“禁飛名單”的檔,供有動機的駭客訪問。
禁飛名單
有時故事令人難以置信。禁飛名單是一份被禁止在美國飛行商業航班的個人名單,它對國家安全有嚴重的影響。我不會詳細介紹數據中包含的字段,甚至不會討論這樣的清單是否合理,甚至不會爭論它有多有用。如果您對這個故事的這些方面感興趣,那麼The Daily Dot的原始文章詳細介紹了 它 ,並且讀起來非常有趣。
至少,承認一個擁有超過150萬個條目的清單被留在了一個可訪問的位置(而且,我認為是無意的),這是值得畏縮的。
網路安全,但只是微不足道的
根據Daily Dot的原始報告,該航空公司表示,暴露該文件的伺服器是“用於測試目的的開發伺服器”(引用Daily Dot的故事)。此評論中隱含的是,與其他系統相比,該伺服器的重要性要低得多。
該公司還證實,這些數據是真實的,儘管來自2019年版本的“無航班清單”。
根據現有法規,並考慮到事件的嚴重性和潛在的安全後果,TSA、FBI 和 CISA 等聯邦級機構都參與其中。
看看這個發現是如何由駭客做出的,事實證明它是在 Shodan 搜索 Jenkins 伺服器時發現的——這是一個軟體包,可以在軟體開發中自動化構建和測試過程,不幸的是,在 常見的網路安全事件故事中是一個熟悉的名字。對於那些不太熟悉這個名字的人來說,Shodan是一項公共服務,為面向互聯網的服務提供類似谷歌的搜索。例如,可以要求它查找互聯網上可訪問的所有電子郵件伺服器,或者查找具有公共IP位址的所有未受保護的遠端桌面運行系統。對於威脅演員和劇本小子來說,學習如何使用Shodan是“駭客101”的材料。
現在,IT中的一些服務很難正確分類為明確定義的“面向公眾”和“僅限私有”訪問 - 這意味著需要從組織外部訪問的服務,例如,可以訪問Internet的服務,以及只能從週邊網络內部訪問並且與外部沒有直接聯繫的服務。
然而,詹金斯是那些沒有提供論據的人之一。它顯然是僅供基礎設施使用的服務,僅對開發人員有用,因此,Shodan 查詢永遠無法訪問。雖然非常完整,但 Shodan 並不神奇——如果所述伺服器沒有暴露,它就找不到伺服器。
但找到運行 Jenkins 的伺服器只是第一步。檔所在的 Jenkins 中必須存在某種形式的未受保護或未經身份驗證的共用。Jenkins 專案提供了 有關保護部署的指導。看起來那裡提供的一些建議甚至沒有被遵循。
那麼應該採取哪些不同的做法呢?
對於初學者來說,現實世界的數據永遠不應該像這樣被使用和濫用。您實際上並不需要測試系統上的實際清單來確保軟體可以正確處理它。這就是為什麼有像「數據類比」這樣的做法,為了這個確切的目的創建“假”的真實數據。
接下來,應該遵循 Jenkins 的最佳實踐 - 沒有不受保護的接入點,沒有共用,沒有暴露。
然後,基礎設施伺服器從一開始就不應該有外部訪問許可權。他們不需要它來正確執行,如果測試某種類型的外部集成需要實際的外部連接,這就是 ipsec 隧道的用途。
但問題的真正癥結在於,在網路安全方面,IT團隊仍然對這樣的“二級”系統有不同的看法。一線系統、核心系統和關鍵系統得到了所有的關注,但像這個故事中的基礎設施系統以及其他像列印伺服器、內部文件共享伺服器等的系統可能會時不時地瞥一眼,可能是當有人抱怨問題時。
(所有的伺服器都是安全的——除了一個 Jenkins 盒子。
https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot)
這種不同的注意力會導致眾所周知的盔甲出現凹痕——只需要一個小缺口,整個城堡就會崩潰。
無所不在,IT 版本
始終保護、監控和 修補 所有伺服器,就好像每個伺服器中都有關鍵業務數據一樣。這應該是現代安全態勢的口頭禪——唯一的口頭禪。盡可能自動化,但不忽視任何系統。它們在安全方面都同樣重要。
如果威脅參與者不能直接破壞資料庫伺服器,他就不會真正關心。只要他能先進入虛擬化主機,就只是快速進入重要數據。
獲得獎項的實際途徑毫無意義。只有獎勵才重要。藍隊有責任確保所有此類路徑都被正確阻止和保護。
圖片來源:https://i.kym-cdn.com/entries/icons/original/000/035/146/knight.jpg
https://knowyourmeme.com/memes/medieval-knight-with-arrow-in-eye-slot
