-
-
[分享]企业数据存储环境漏洞百出 不安全的关键漏洞和存储协议问题占主要
-
发表于: 2021-10-19 10:53 7097
-
新的研究发现,很多企业机构没有对其数据存储和备份系统进行适当地保护使其免受网络攻击的伤害。
新的一项研究显示,尽管勒索软件攻击急剧增加,但企业存储和备份环境的安全状况比IT基础设施的计算和网络层要脆弱得多,软件安全漏洞更是为其增加很大隐患。
Continuity 最近分析了来自于银行、金融服务、运输、医疗保健和其他行业客户的423个存储系统收集的数据。所分析的系统包括存储区域网络/网络附加存储 (SAN/NAS) 系统、存储管理服务器、虚拟SAN、虚拟存储系统和数据保护设备。
分析表明,许多存储环境都存在安全漏洞,一旦发生勒索软件攻击,或者试图窃取、克隆、修改或破坏数据得攻击,这些安全漏洞就会使企业面临更大更严重的中断风险。
在这项研究中分析的423个存储系统中,有超过6300个独特的安全问题。每台设备上平均存在15个漏洞,其中3个是关键漏洞,如果被利用将有造成重大危害的风险。
最常见的安全风险包括易受攻击或配置不当的协议、未修补的漏洞、过于宽松的访问权限、不安全的用户管理和身份验证控制等。
有些安全漏洞是缺乏意识和知识造成的,此外团队之间缺乏协作和有效沟通也助长安全漏洞的数量,如信息安全团队可能很了解这些问题,但IT开发团队并没注意。
Continuity的首席技术官表示,虽然知道会有差距,但没想到差这么多。这项研究表明了,存储和备份系统中的安全漏洞很普遍,造成问题有多个原因,如意识、规划、实施和控制等。
协议问题
对于存储协议,Continuity 发现研究中的许多组织要么没有禁用各种协议的旧版本,例如 SMBv1 和 NFSv3,要么默认使用它们。同样常见的是继续使用旧的(不再推荐)加密套件,例如 TLS 1.0 和 TLS 1.1,以及未能违反 PCI DSS 等法规禁用 SSL 2.0 和 SSL 3.0。此外,Continuity 发现公司经常没有对关键数据馈送实施加密。
在Continuity的研究中,423个设备中有很大一部分的配置方式是,它们提供对共享存储的无限制访问,或者可以从外部网络访问。
Continuity发现,企业在身份验证和基于角色的访问控制方面没有像在其他IT环境中那样严格。在许多情况下,企业使用默认系统帐户执行日常任务,或者共享管理员密码。
角色分离的基本原则也常常不被遵守。例如,用于数据管理的相同角色也用于数据备份和快照。同样,Continuity研究中,15%或60多个存储系统根本没有记录任何活动。相当大比例的系统至少打开了一些日志记录,其配置方式使它们容易受到操纵。
Continuity表示,尽管新的存储系统提供了针对勒索软件攻击的特定保护措施,例如锁定保留的数据副本并防止数据被篡改或删除,但这些功能经常被忽视。使用时,它们的配置不符合供应商推荐的最佳实践。
这些问题的累积效应大大增加了企业组织的风险。
“成功的勒索软件只是冰山一角”。成功访问存储环境的攻击者可以破坏所有可用的恢复选项,包括副本、备份、不可变副本、基于存储的快照和恢复密钥。
其他风险包括攻击者使用他们对存储环境的访问权限来克隆或更改敏感数据而不留下任何痕迹。
从技术上讲,存储管理员应该可以轻松检测环境中的已知安全漏洞 (CVE)。然而,大多数企业至少在一定程度上没有实现这方面的自动化,因为现有的漏洞管理工具没有很好地覆盖存储和备份。有些供应商不提供任何覆盖,而其他供应商也可能只是做做表面功夫。
产生、存储、使用“数据”的主体,均为软件,保障数据安全的第一步是保障软件自身的安全。网络安全人员建议企业首先要清楚地了解自身软件情况,包括他们自身开发的软件和来自软件供应商的部分。如在开发软件期间使用安全可信的静态代码检测工具,帮助开发人员减少30%-70%的安全漏洞,有效提高软件自身安全。为数据存储和备份建立安全基线,确保数据存储软件安全是整个企业事件响应计划的重要一部分。
企业需要从现在开始更加关注数据存储和备份的软件安全性,如果此时还没有安全意识,企业的网络环境将更容易受到以数据为中心的攻击,如勒索软件攻击,并且削弱企业网络系统的恢复能力。
参读链接:
https://www.darkreading.com/vulnerabilities-threats/enterprise-storage-environments-riddled-with-vulnerabilities
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)