[調研]網絡安全的大敵：配置錯誤

8月10日，網絡安全與合規公司Titania發布調研報告稱，網絡錯誤配置可致企業平均損失9%的年收入。Titania廣泛調研了政府和行業垂直領域的160名高級網絡安全決策者，除驚人的平均損失數額外，調研結果還顯示，由于對聯網設備的審計不頻繁，可令企業面臨網絡攻擊威脅的錯誤配置可能會在網絡上留存數月或數年。 

“網絡每天都在變——通常是按計劃變動，但這會造成配置逐漸改變。”Titania首席執行官Phil Lewis表示，“由于防火墻、路由器和交換機是所有網絡的安全關鍵，企業應定期（最好是每天）檢查自身所有設備是否存在可導致重大安全風險的錯誤配置，無論這些配置是意外形成還是故意為之。”

“只有4%的企業通過審核交換和路由設備，以及防火墻，來評估其所有網絡設備。這一事實本身就存在問題，也可能是由于缺乏精確自動化能力造成的。”他補充道。

難以排序網絡設備風險緩解操作

這項研究還表明，企業在按優先級別緩解網絡設備所致風險方面遇到了困難。70%的受訪者稱難以根據風險等級排定修復操作的優先次序。他們還認為不精確的自動化是滿足安全和合規要求的最大挑戰。

“許多企業目前賴以自動化漏洞檢測的工具未能使日常網絡安全檢查過程更加高效。”Lewis稱，“通常只是抽樣檢測。這最終使網絡暴露在配置變動所引起的未檢出潛在重大風險之下。”

路由器設置常存在錯誤

企業可能不愿意妄動網絡錯誤配置。“為了修復威脅而更改網絡配置很容易‘破壞’運行正常的Web應用和服務。”漏洞修復公司Vicarius聯合創始人兼首席執行官Michael Assraf解釋道，“網絡設備通常運行的是老舊的精簡版Linux，除非硬件供應商發布升級，否則根本不會收到通用內核更新。。做快照和從錯誤配置恢復也是手動完成，而且需要具備特定的專業知識。”

陳舊的網絡架構依賴防火墻來保護網絡設備免遭入侵，但也給企業引入了風險。“管理員的很多操作都可能錯誤配置路由器，導致意外繞過防火墻。”網絡安全技術公司WatchGuard Technologies首席安全官Corey Nachreiner表示，“我見過有管理員用路由器的多個接口無意中將第二個接口直接連接到他們的網絡，繞過了防火墻。”

“有些交換機還具有備用遠程管理通道，這些通道可能位于防火墻和網關路由器之外。”Nachreiner繼續說道，“因此，確保這些功能不會被錯誤配置也很重要，可以避免造成內部網絡交換機暴露于公網 "

交換機和路由器常被忽視

報告還發現，路由器和交換機在很大程度上被忽視了。大多數企業（96%）重視防火墻的配置和審核，但只有4%的企業會評估交換機、路由器，以及防火墻。“商用路由器和網絡設備采用穩健的安全協議，這些協議聲名遠播。”IT管理服務提供商MainSpring首席安全官Ray Steen表示，“網絡管理員信任這種安全，但給含有脆弱代碼的產品配上強大的安全協議，也不過是用三英寸厚的鋼門保護個紙板箱而已。網絡攻擊者直接破了那個紙箱就行。”

“我認為公眾更加關注個人計算和服務器，因為這些很容易保護。”不可代理設備風險管理平臺生產商DeviceTotal的創始人兼首席執行官Carmit Yadin補充道，“個人計算和服務器都很直觀，而物聯網和網絡設備是黑盒，客戶買來直接接入網絡就行。因為無需安裝客戶端或代理，也就沒那么直觀。”