Lindungi dari ancaman eksternal

Di kolom sebelumnya, saya mengungkapkan bagaimana sebagian besar ancaman keamanan komputer yang dihadapi lingkungan Anda hidup di sisi klien dan memerlukan keterlibatan pengguna akhir. Pengguna harus direkayasa secara sosial untuk mengklik item di desktop mereka (email, lampiran file, URL, atau aplikasi) yang seharusnya tidak mereka miliki. Ini bukan untuk mengatakan bahwa eksploitasi jarak jauh bukanlah ancaman. Mereka.

[ Kolom Roger Grimes sekarang menjadi blog! Dapatkan berita keamanan TI terbaru dari blog Penasihat Keamanan. ]

Buffer overflow dan serangan DoS tetap menjadi ancaman serius terhadap komputer di bawah kendali Anda. Meskipun serangan tersebut kurang lazim dibandingkan serangan sisi klien, gagasan bahwa penyerang jarak jauh dapat meluncurkan serangkaian byte ke komputer Anda, kemudian mendapatkan kendali atas mereka selalu membawa ketakutan terbesar bagi administrator dan menangkap berita utama terbesar. Tetapi ada juga jenis serangan jarak jauh lainnya terhadap layanan pendengaran dan daemon.

Tantangan eksploitasi jarak jauh

Banyak layanan dan daemon menjadi sasaran serangan dan penyadapan MitM (man in the middle). Terlalu banyak layanan yang tidak memerlukan otentikasi titik akhir atau menggunakan enkripsi. Dengan penyadapan, pihak yang tidak berwenang dapat mempelajari kredensial masuk atau informasi rahasia.

Pengungkapan informasi yang tidak pantas adalah ancaman lain. Hanya perlu sedikit peretasan Google untuk menakut-nakuti Anda. Anda akan menemukan kredensial masuk dalam tampilan biasa, dan tidak lama lagi Anda akan menemukan dokumen sangat rahasia dan rahasia.

Banyak layanan dan daemon yang sering salah konfigurasi, sehingga memungkinkan akses tanpa nama dari Internet. Tahun lalu saat mengajar kelas tentang peretasan Google, saya menemukan database kesehatan dan kesejahteraan sosial seluruh negara bagian (AS) dapat diakses di Internet, tidak diperlukan kredensial masuk. Itu termasuk nama, nomor Jaminan Sosial, nomor telepon, dan alamat - semua yang dibutuhkan pencuri identitas untuk berhasil.

Banyak layanan dan daemon tetap tidak ditambal, tetapi terpapar ke Internet. Baru minggu lalu, pakar keamanan basis data David Litchfield menemukan ratusan hingga ribuan basis data Microsoft SQL Server dan Oracle yang belum ditambal di Internet yang tidak dilindungi oleh firewall. Beberapa tidak memiliki tambalan untuk kerentanan yang telah diperbaiki lebih dari tiga tahun yang lalu. Beberapa sistem operasi baru secara sadar dirilis dengan pustaka usang dan binari yang rentan. Anda dapat mengunduh setiap tambalan yang ditawarkan vendor dan Anda masih dapat dieksploitasi.

Apa yang bisa kau lakukan?

* Inventarisasi jaringan Anda dan dapatkan daftar semua layanan mendengarkan dan daemon yang berjalan di setiap komputer. 

* Nonaktifkan dan hapus layanan yang tidak dibutuhkan. Saya belum memindai jaringan yang tidak menjalankan banyak layanan yang tidak diperlukan (dan seringkali berbahaya, atau setidaknya berpotensi berbahaya) yang tidak diketahui oleh tim dukungan TI.

Mulailah dengan aset berisiko tinggi dan bernilai tinggi. Jika layanan atau daemon tidak diperlukan, matikan. Jika ragu, telitilah. Ada banyak sumber dan panduan bermanfaat yang tersedia secara gratis di Internet. Jika Anda tidak dapat menemukan jawaban yang pasti, hubungi vendornya. Jika Anda masih tidak yakin, nonaktifkan program dan pulihkan jika ada yang rusak.

* Pastikan semua sistem Anda sepenuhnya ditambal, baik OS maupun aplikasi. Langkah tunggal ini secara signifikan akan mengurangi jumlah layanan yang dikonfigurasi dengan benar yang dapat dieksploitasi. Kebanyakan administrator melakukan pekerjaan yang sangat baik dalam menerapkan tambalan OS, tetapi mereka tidak melakukannya dengan baik memastikan aplikasi ditambal. Di kolom khusus ini, saya hanya peduli tentang menambal aplikasi yang menjalankan layanan pendengaran.

* Pastikan layanan dan daemon yang tersisa berjalan dalam konteks yang paling tidak memiliki hak istimewa. Hari-hari menjalankan semua layanan Anda sebagai root atau admin domain akan segera berakhir. Buat dan gunakan akun layanan yang lebih terbatas. Di Windows, jika Anda harus menggunakan akun dengan hak istimewa, gunakan LocalSystem alih-alih admin domain. Berlawanan dengan kepercayaan populer, menjalankan layanan di bawah LocalSystem berisiko lebih kecil daripada menjalankannya sebagai admin domain. LocalSystem tidak memiliki kata sandi yang dapat diambil dan digunakan di seluruh forest Active Directory.

* Mengharuskan semua akun layanan / daemon menggunakan kata sandi yang kuat. Artinya panjang dan / atau kompleks - 15 karakter atau lebih. Jika Anda menggunakan kata sandi yang kuat, Anda harus lebih jarang mengubahnya, dan Anda tidak perlu penguncian akun (karena peretas tidak akan pernah berhasil).

* Google-hack jaringan Anda sendiri. Tidak ada salahnya untuk mengetahui apakah jaringan Anda merilis informasi sensitif. Salah satu alat favorit saya adalah Penggali Situs Foundstone. Ini pada dasarnya mengotomatiskan proses peretasan Google dan menambahkan banyak pemeriksaan Foundstone sendiri.

* Instal layanan pada port nondefault jika tidak mutlak diperlukan pada port default; ini adalah salah satu rekomendasi favorit saya. Letakkan SSH pada sesuatu selain port 22. Letakkan RDP pada sesuatu selain 3389. Dengan pengecualian FTP, saya dapat menjalankan sebagian besar layanan (yang tidak dibutuhkan oleh masyarakat umum) pada port nondefault, di mana peretas jarang Temukan mereka.

Tentu saja, pertimbangkan untuk menguji jaringan Anda dengan pemindai analisis kerentanan, baik yang gratis maupun yang komersial. Ada banyak yang sangat baik yang menemukan buah yang tergantung rendah. Selalu memiliki izin manajemen terlebih dahulu, uji selama jam kerja, dan terima risiko bahwa Anda mungkin akan menjatuhkan beberapa layanan penting secara offline selama pemindaian. Jika Anda benar-benar paranoid dan ingin melewati kerentanan yang diungkapkan secara publik, gunakan fuzzer untuk mencari eksploitasi zero day yang tidak diungkapkan. Saya telah bermain-main dengan yang komersial akhir-akhir ini (perhatikan Pusat Tes untuk ulasan saya) terhadap berbagai peralatan keamanan, dan fuzzer menemukan hal-hal yang saya curigai tidak diketahui oleh vendor.

Dan tentu saja, jangan lupa bahwa risiko eksploitasi jahat Anda terutama berasal dari serangan sisi klien.