0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

避免边缘的数据安全漏洞

王晾其 来源:ws2165946 作者:ws2165946 2022-07-19 17:04 次阅读

数据越来越多地在敌对领土上传输或存储在网络边缘。需要在工业、运营技术和物联网 (IoT) 环境中保护关键运营数据或知识产权。

以前存储在“防火墙后面”的专有系统中的信息在传输和存储在可以分析的地方时更有价值。通常,这意味着使用公共云服务和内容交付网络。

在所有这些情况下,都存在可能危及数据安全的常见错误,但大多数都是可以避免的。

超越密码

事件处理报告表明,凭据收集是一种经常用于恶意访问企业系统的策略。

由于防火墙、气隙和专有计算环境,人们普遍认为工业环境不受凭证收集的影响。在工业环境中普遍存在的商业计算系统难以更新,这使得它们容易受到凭证收集攻击。

pYYBAGLPBZeAYou0AAd8PTp5Z7M523.png


杰森·索罗科

如果没有多重身份验证,任何强度的用户名/密码组合都不应被视为安全。不幸的是,并非所有的 MFA 都是平等的。诸如硬令牌之类的较旧形式很难在现代多应用程序环境中提供并且使用起来很麻烦。包括银行在内的许多组织通常使用 SMS 文本消息来发送一次性密码,但对于那些被诱骗下载将 SMS 消息重定向到攻击者的恶意软件的 Android 用户来说,却发现了它们的弱点。这些步骤现在已被美国国家标准与技术研究院 (NIST)推荐为不推荐使用的 MFA 方法。

主要问题源于使用默认(也称为静态)用户名/密码身份验证。攻击者在闭路摄像头和其他物联网设备中找到容易的目标,并使用这些易受攻击的设备对主要互联网服务执行拒绝服务 (DOS) 攻击。作为回应,加州通过了最初的物联网安全立法,以直接应对 2016 年Mirai 僵尸网络攻击。

课程?需要强身份验证来抵御针对弱静态凭据的攻击。至少,应该可以更改静态凭据,例如购买时 IoT 设备随附的默认用户名/密码。最新版本的物联网安全措施,包括提议的英国物联网安全法案和澳大利亚的物联网安全立法,走得更远。他们提出了比用户名/密码更动态的身份验证机制,以及物联网设备供应商的其他重要安全考虑。

至于身份和访问管理 (IAM),需要进行的更改是工业环境中的 VPN 访问。凭证薄弱的 VPN 通常是“过度特权”的,并且对它们的访问权被随意分配给承包商。“最小特权”原则是网络安全中的一个关键概念。

不是每个人都应该拥有完全的管理员或永久权限;最好创建仅具有完成工作所需的最低权限的 IAM 角色,然后在完成后撤销它们。如果凭据被盗,这可以减少攻击者可能造成的潜在破坏。VPN 用户还应考虑使用仅具有必要权限的凭据,以确保这些网络使用客户端证书进行身份验证,而不仅仅是用户名/密码组合。

pYYBAGLPBa6APBrOAA4nSdDujn0972.png

安全尽职调查还需要仔细管理 SSH 密钥——这很少见。许多没有到期日期,并且通常存储在不安全的地方。考虑使用商业 SSH 或 Secure Shell 管理工具,该工具可以将密钥包装在证书中,并带有可以存储在安全计算环境中的策略。

随着公共云服务越来越受欢迎,安全纪律应该成为首要考虑因素。假设数据和操作系统默认受到保护是错误的。此外,考虑对静态和传输中的数据进行加密。通过使用公钥基础设施加密证书,可以安全地存储数据。通过传输层安全协议的相互身份验证通过创建通信流经的加密隧道来保护系统和连接它们的网络。

可以和不能

控制器区域网络 (CAN) 数据通常被移动到众多边缘服务器,以实现高效和快速的分发。这种技术已经使用了多年,以分布式拒绝服务保护的形式增强了安全性。缺点是对数据的控制较少。

据报道,英特尔遭受了超过 20 GB 的源代码和专有数据的泄露。据报道,攻击者通过 CAN 获取数据,用于提高 Web 应用程序性能。数据从服务器传输到 CAN,使数据分发更加高效。安全配置问题可能是英特尔违规的根本原因。

不幸的是,许多组织可能没有意识到使用 CAN 的安全隐患。如果数据被认为是安全的,因为它位于防火墙后面,但出于性能目的而被复制到企业环境之外,则安全隐患很大。同样,假设数据和操作系统默认受到保护是错误的。值得庆幸的是,可以通过更好的安全配置和数据加密来缓解这些问题。

存储在电子邮件服务器中的 IP

索尼在 2014 年遭受了一次泄露,其中数百 TB 的数据被盗。民主党全国委员会服务器两次违规都导致维基解密公开提供敏感电子邮件。索尼首席执行官被解雇;DNC 黑客事件改变了选举进程。

共享运营数据的工业公司同样容易受到攻击。使用 S/MIME 证书的电子邮件加密解决了许多问题。证书管理和自动化解决了以前与 S/SMIME 电子邮件加密相关的问题,包括设备配置和证书托管,以防证书丢失。

与加密一起,电子邮件签名是验证消息的重要方法,这对于防御社会工程有很大的好处。冒充同事但没有 S/MIME 证书的人很容易从正确 S/MIME 签名的电子邮件中脱颖而出。

零信任

NIST 最近发布了其零信任架构指南的最终版本。工业和运营技术组织、物联网供应商和消费者应注意该指南的原则。随着公共云使用量的增长以及资源转移到传统防火墙之外,最佳实践是将每个数字资产都视为处于敌对网络中。这对于远程工作尤其重要。

上面提到的所有数据泄露都有一个共同的问题:过于信任。

零信任模型假设每个数字资产都需要被视为自己的网络边缘,必须保护自己的身份。这就是需要技术融合的地方,从现代 IAM 和公钥基础设施到配置和管理身份。然后是使授权规则可扩展的策略引擎。

零信任强调最小特权原则,这对于工业和运营技术至关重要。是时候结束关于防火墙后环境的传统假设了。

在操作环境中,攻击显示了气隙的概念,“通过默默无闻的安全”都是神话。在攻击者之前确定系统是否暴露于公共 Internet 至关重要。

您的运营网络中是否有通过内置 Web 服务器配置的控制器?该网络服务器是否以弱密码暴露在公共互联网上?

如果是这样,则需要数字资产清单。公司的皇冠上的明珠在哪里,它们是如何受到保护的?同样,不要假设它们在默认情况下受到保护。凭据薄弱、安全配置错误以及缺乏对风险的了解是可以修复的盲点。

— Jason Soroko 是Sectigo的首席技术官。


审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15365
  • 数据安全
    +关注

    关注

    2

    文章

    681

    浏览量

    29939
收藏 人收藏

    评论

    相关推荐

    对称加密技术有哪些常见的安全漏洞

    对称加密技术在实际应用中可能面临的安全漏洞主要包括: 实现不当: 错误的加解密实现、弱随机数生成器或其他逻辑错误都可能导致安全漏洞漏洞利用: 利用已知的弱点或攻击手段,如理论上可行的分组攻击或侧
    的头像 发表于 12-16 13:59 43次阅读

    物联网系统的安全漏洞分析

    设备制造商的安全意识不足 许多物联网设备制造商在设计和生产过程中,往往忽视了安全问题,导致设备存在先天性的安全漏洞。这些漏洞可能包括弱密码、未加密的
    的头像 发表于 10-29 13:37 344次阅读

    如何使用 IOTA 分析安全漏洞的连接尝试

    在当今数字化世界中,网络安全变得至关重要。本文将探讨如何利用流量数据分析工具来发现和阻止安全漏洞和恶意连接。通过分析 IOTA 流量,您可以了解如何识别不当行为,并采取适当的措施来保护您的网络和
    的头像 发表于 09-29 10:19 260次阅读
    如何使用 IOTA 分析<b class='flag-5'>安全漏洞</b>的连接尝试

    漏洞扫描一般采用的技术是什么

    漏洞扫描是一种安全实践,用于识别计算机系统、网络或应用程序中的安全漏洞。以下是一些常见的漏洞扫描技术: 自动化漏洞扫描 : 网络扫描 :使用
    的头像 发表于 09-25 10:27 344次阅读

    漏洞扫描的主要功能是什么

    漏洞扫描是一种网络安全技术,用于识别计算机系统、网络或应用程序中的安全漏洞。这些漏洞可能被恶意用户利用来获取未授权访问、数据泄露或其他形式的
    的头像 发表于 09-25 10:25 379次阅读

    小米科技高级安全专家:智能汽车Tbox安全漏洞分析

    GeekPwn和汽车安全比赛并荣获多项大奖。精通IOT、移动端和车联网安全。在车联网安全体系建设和漏洞挖掘上有着丰富的安全经验和深入的研究。
    的头像 发表于 05-27 14:31 1218次阅读
    小米科技高级<b class='flag-5'>安全</b>专家:智能汽车Tbox<b class='flag-5'>安全漏洞</b>分析

    Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker

    值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞,主要由RAM的“Use After Free”类型
    的头像 发表于 05-16 15:12 725次阅读

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 651次阅读

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 555次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞(CVE-2024-1580)。
    的头像 发表于 03-26 10:47 721次阅读

    物联网边缘设备安全:IIoT安全的硬件解决方案

    IIoT环境中存在的安全漏洞可能会给犯罪分子以可乘之机,终将导致企业机密泄露或敏感数据丢失,比如产品制造蓝图或关键业务信息等。
    发表于 02-28 09:25 724次阅读
    物联网<b class='flag-5'>边缘</b>设备<b class='flag-5'>安全</b>:IIoT<b class='flag-5'>安全</b>的硬件解决方案

    苹果承认GPU存在安全漏洞

    苹果公司近日确认,部分设备中的图形处理器存在名为“LeftoverLocals”的安全漏洞。这一漏洞可能影响由苹果、高通、AMD和Imagination制造的多种图形处理器。根据报告,iPhone 12和M2 MacBook Air等设备也受到了这一
    的头像 发表于 01-18 14:26 671次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码被视为数据安全漏洞则被建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理源代码的质量。 在审计源代码
    发表于 01-17 09:35

    汽车网络安全:防止汽车软件中的漏洞

    汽车网络安全在汽车开发中至关重要,尤其是在 汽车软件 日益互联的情况下。在这篇博客中,我们将分享如何防止汽车网络安全漏洞。 静态分析工具有助于执行关键的汽车编码指南(如MISRA和AUTOSAR C++14),并协助遵守功能安全
    的头像 发表于 12-21 16:12 1084次阅读
    汽车网络<b class='flag-5'>安全</b>:防止汽车软件中的<b class='flag-5'>漏洞</b>

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    库(CNNVD) 于2009年正式投入运行,是 中国信息安全测评中心 为切实履行漏洞分析和风险评估的职能,负责建设运维的 国家级信息安全漏洞数据管理平台 ,旨在为我国信息
    的头像 发表于 12-21 10:14 642次阅读
    再获认可,聚铭网络入选国家信息<b class='flag-5'>安全漏洞</b>库(CNNVD)技术支撑单位