做好这几点,安心睡个好觉
我说的是网络安全,而且说的是企业安全!(不感兴趣的可以划走了。)
做好安全,能让你省多少事!
因为一旦出现安全事件,会给你带来很多麻烦。
即便不是你的责任,你也要为此煞费心力!(光报告可能就要写好几份,更不要说各种整改了!)
我总结了几点,做到了,你会轻省很多。
1、密码永远要弄成复杂的。
密码(口令)和认证方式从来都是最最重要的。
因为攻击者通常也就那么两下,如果系统没有漏洞,攻击者只能去搞密码。
毕竟这个最省力最见效嘛!
所有系统,自身应该带有强密码策略和定期更换要求,这样就不需要用管理手段,就不会有一再要求但仍有人违规的问题。
系统不应该提供相同的初始口令,初始口令应该是随机的,每人不一样的。
企业应该有发现弱口令的方法。
企业应该有发现暴力猜解口令的方法。
2、重要系统应该有二次、多次认证方式
光靠一层密码是不够的。
即便是强密码,攻击者仍然可能采用种种手段搞到手。
重要系统应配合短信、OTP等等方式,增加攻击者的难度,毕竟一层保护的力度太弱。
如果必要,还可以弄三次认证,比如把邮箱认证也加上。
像邮箱这种系统,是攻击者务必会使劲搞的,所以邮箱的web登录一定要上二次认证。
另外,邮箱通常都会支持客户端登录协议(SMTP、POP3、IMAP等),为了防止暴力猜解,客户端最好用专用密码(弄成强度很高的,每人不一样的,用户不能改的,和web登陆口令不一样的),可以极大降低某个用户邮箱被攻破的概率。
双因子、多因子认证是业界经过多少年反复实践反复检验过的方法,用就是了。
3、留心保护好你的API密钥
现在很多系统都提供API接口,而API接口的认证密钥,通常都是写在源代码里。
如果是写在源代码里,就很可能会在Github、GItee这类仓库中发现。
有人没事就在各种地方搜access key,access secret这种东西。
所以即便你用,也要给它改个名;即便放在github上,也只是放个测试的secret。
4、不要用危险的东西
不要用名声不好的、漏洞多的,攻击者早就虎视眈眈的东西。
尤其是不要使用域管理,有域就会有域控,就可能被拿下。
攻击者最喜欢域控攻击(如黄金票据、Pass the HASH攻击等),拿到域控就能拿到大量机器和信息。
如果你已经用了,趁早换掉吧。
再如struts2,出了多少漏洞了,别用了。
5、使用各种隐藏和混淆,让对方摸不着头脑
攻击者最喜欢的就是他们熟悉的信息。
所以Banner信息之类,能改尽量改了。
后台如果有/admin这种URL的,尽量改成攻击者想不到的。
管理员尽量不叫administrator、admin、root 之类的名字。
总之,让攻击者各种懵逼就对了。
如果条件允许,加上“动态安全”防御,每次HTTP响应都做动态的URL混淆和javascript注入。
攻击者将会非常懊恼。
6、永远保护好主机安全,机器拿下了,那就很危险了
攻击者如果控制了机器,就可以控制内存,就可以获取内存中密码(mimikatz),可以搜索内存中的连续字符串(strings),或导出内存镜像(jmap),然后慢慢分析(volatility)。
虚拟机是一样的,由于虚拟化技术的设计和实现都会有漏洞,攻击者在攻下的虚拟机上,可能逃逸并控制所在的物理宿主机,进而控制该宿主机上的所有虚拟机。
7、尽可能使用白名单增强安全性
比如防火墙尽可能使用白名单控制(不用说);
比如只允许特定的进程访问特定的存储(防止木马读取写入);
比如只允许从特定的操作位置登录特定的设备(只能是法定的运维人员可以登陆);
比如只允许员工访问特定的白名单互联网网站(避免员工中招);
比如只允许特定的电脑入网(网络准入,避免社工入网)。
虽然麻烦,但是安全。
8、安全监测系统上的越多越好
为什么大银行的网络安全明显比其他单位强?
主要是钱花得到位,人配得充分,工具上得齐全。
各种检测、监控、发现类工具要尽可能多,同一种工具都可以买上两、三家的,因为总会有漏报。
而且你第一次买的,总可能不是最好的。那就再买几个。直到保留下两个最好的。
比如内存型木马虽然没有文件落地, 但木马行为都会有的:反弹、列目录、命令执行(cmd、whoami、ipconfig)等。好的主机监测工具就能发现。
后记
以上这些措施,看起来都不难,实际上都挺难。(如果你做过,你就知道。)
安全管理者必须有定力,把这些措施一一实现。
(像漏洞修补、开发安全、渗透测试、网络隔离、意识教育这类我就不说了)
然后在重大攻防演练时,可以安心睡个好觉。
文 | 卫剑钒
图 | 斯巴达300勇士
做好这几点,安心睡个好觉相关推荐
- 搭建阿里云 TiDB 的灾备,让我安欣睡个好觉
作者: anxin 原文来源: https://tidb.net/blog/07ee8049 云原生数据库TiDB 上阿里云了,依托的平台是阿里云计算巢,阿里云计算巢是一个服务管理平台,一方面方便第三 ...
- Sleep tight:(晚上) 睡个好觉!
不知从何时起,"Good night"(晚安)竟成了情侣们晚睡前开心入眠的"安心丸".不过,也有朋友说,"睡个好觉"更中国化.更比" ...
- 年轻人,不拼一把,你确定余生睡得好觉吗?
博观而约取,厚积而薄发 日剧<大叔之爱>里,有一句著名的台词:"你不要大声责骂年轻人,他们会立刻辞职的.但是中年人,你可以往死里骂,尤其是那些有房.有车.有孩子的." ...
- 愿你白天有说有笑,晚上睡个好觉
插画:annie.Z -1- 手机设置了静音,早晨起来,被十几条未接电话惊醒,准备回拨过去,看到姑姑发来的短信:祝你生日快乐. 看了看日历才反应过来,今天是自己的农历生日. 打开微信,一朋友发来一张图 ...
- 睡个“好”觉,还真是有益身心胖瘦的
睡觉真的能瘦吗?"躺着也能瘦"这句话从字面意义上来说"就很扯",我是一点也不相信的,但不相信归不相信吧,我好奇呀!为什么会出现这种说法呢?躺着真能瘦吗?于是就去 ...
- 睡不着觉--安卓计数器给我数绵羊
最近长沙天气有点让人抓狂了,宿舍更是睡觉禁地,大晚上睡不着觉,半夜惊醒,一身IT闷骚汗,嗨,又是难眠夜~_~ 睡不着的时候就打开电脑,闲来无事,刚好前几天安卓入门,便突发奇想,弄一个计数器来数绵羊(当 ...
- 中医教你怎么睡好觉,睡个养生觉!
中医教你怎么睡好觉,睡个养生觉! http://www.360doc.com/content/15/0511/00/14567236_469554154.shtml 人一个晚上不睡,一百天都补不回来. ...
- 晚上睡不着觉该怎么办?
晚上睡不着觉该怎么办?晚上睡不着失眠是许多当代人士面临的一种困扰,一天的工作之后疲倦的躺在床上可愣是睡不着,翻来覆去数绵羊也无济于事,面对这样的状况真不知如何是好?! 晚上经常失眠睡不着的原因有哪些? ...
- 失眠睡不着觉怎么办?这些助眠好物帮助你走出失眠
相信在现在的生活当中,很多人都会受到失眠的困扰,每天得不到充足的睡眠以及睡眠质量不高,这样长时间都会影响着我们在白天的生活,精神状态不佳,还会影响工作.下面这些助眠好物,都可以在一定程度上改善自己的睡 ...
最新文章
- redis 通过aof日志恢复_Redis之-aof恢复
- Spring Boot中普通类获取Spring容器中的Bean
- 命令行选项解析函数:getopt()
- 奥运开幕了 您给开幕式和火炬点火仪式打几分?
- 经典C语言程序100例之十三
- Linux系统下不同机器之间拷贝文件的方法
- 音视频技术的高光时刻: LiveVideoStackCon 2019上海 音视频技术大会
- PostgreSQL表的行数统计
- Python最实用的25个小技巧
- python九九乘法表右对齐_python语法练习题之九九乘法表
- 你好,请查收这封元旦祝福,CSDN云计算改版啦!
- 谷歌浏览器如何设置flash访问权限
- jQuery源码解析之offset()
- oracle导数时不包含某个表,EXPDP导数报ORA-00942案例
- 秋招经验总结(私企,外企,国企)
- vim可视模式下复制粘贴文本
- [收藏]三国时代的十大遗言
- 洛谷 CF311B Cats Transport
- 重力球——重力感应器应用
- Debian10中使用deb包安装WineHQ(鬼畜依赖解决)
热门文章
- How to Install Nvidia Kernel Module Cuda and Pyrit in Kali Linux
- 《太阳照常升起》观后感
- 微商城系统之商家平台任务自动分析处理系统_OctShop
- 博图14软件安装顺序_博图v14安装顺序和教程
- 安装并使用Ghidra的Eclipse插件的过程
- Eclipse12:CookieSession
- 微信小程序,图片双指放大缩小
- sat数学可以用计算机吗,SAT数学考试带计算机是否可以
- android 列表倒计时,Android ListView列表实现倒计时
- Clickhouse 时间日期函数