常見的安全錯誤配置及其后果

在網絡安全世界里，錯誤的配置可能會產生各種各樣的可利用漏洞，本文就讓我們來看看幾個常見的安全錯誤配置。

首先是開發權限，當某些東西投入使用時它不會被改變。例如，AWS S3 bucket在開發過程中經常被分配允許訪問權限。如果在發布代碼之前沒有仔細地執行安全檢查，就會出現問題，無論是針對平臺的初始發布還是針對更新，這樣每個人都能從中讀取和寫入。這種特殊的錯誤配置是危險的，由于該應用程序正在運行并且該站點正在為用戶加載，所以沒有明顯的跡象表明有什么地方出錯了，直到一個尋找打開的bucket的攻擊者偶然利用了它。

在將所有應用程序和站點推送到實際環境之前(包括初始啟動和更新周期)，仔細檢查它們的安全性對于捕獲此類錯誤配置至關重要。應該檢查每個bucket，以確保其上設置的允許平臺工作的權限最少。

在非云計算方面，最常見的配置錯誤之一是沒有執行組策略、反惡意軟件和其他集中式管理規則和更新。很少直接連接到公司網絡的筆記本電腦可能要花費數月的時間才能獲得這些重要的更改，因此隨著安全形勢的變化，這些筆記本電腦將無法進行任何防御。

一個常見的例子是筆記本電腦已經很長時間沒有上網了，如果此類筆記本電腦不在VPN或其他安全連接上，則可能不允許其接收Active Directory組策略更新，這將導致其GPO隨著時間的推移而過時。這意味著在此類筆記本電腦上可能會執行禁止的操作或操作，而當該設備最終以再次訪問受保護資源的方式連接時，受保護的網絡就會暴露在外。

解決此漏洞的方法是確保有權訪問組織資源的設備必須接受組織管理更改，諸如AzureAD和去中心化反惡意軟件平臺之類的工具可以允許遠程設備安全地接收更新。對于這些工具來說，HTTPS連接通常足以推動更新并執行策略更改。

使用分布式設備管理可以確保它們與安全策略保持一致，即使是那些只用于訪問云可用資源(如Office365)、不定期直接連接到組織的受保護網絡的設備。

許多此類工具，尤其是諸如反惡意軟件系統之類的工具，甚至都不要求設備由移動設備管理平臺進行管理。這意味著，即使該設備不是組織“擁有”的，它仍可以保持最新狀態并受到保護。

當我們談到遠程工作這個話題時，還有另一種經常發生的錯誤配置。VPN系統允許遠程工作人員安全訪問公司數據，但是大量VPN客戶端默認使用不安全的現成配置。分割隧道VPN配置僅在訪問受保護的系統時才通過安全網絡路由用戶流量，而將所有其他流量直接發送到互聯網。這意味著，當用戶試圖訪問文件服務器時，他們通過VPN進行訪問，而對Salesforce的調用則通過不受保護的互聯網進行。雖然這有利于性能，但它帶來的問題是，用戶的設備可能會在外部世界和內部網絡之間建立一座橋梁。通過一點社交工程，威脅執行者可以創建到用戶設備的持久連接，然后利用該用戶的VPN隧道進入受保護的網絡。

絕大多數VPN客戶端支持獨立通道配置，這意味著在VPN處于活動狀態時，所有流量都將通過組織網絡進行路由，包括發往外部源的流量。這也意味著，與來自直接連接到受保護網絡的用戶的流量一樣，所有流量也將受到相同的控制。

雖然配置錯誤很容易發生，但它們對組織的安全構成了明顯的威脅。在工具投入使用或更新時，花時間檢查安全性可以很容易捕獲此類錯誤配置。

此外，公司可以部署持續的安全驗證工具，以與攻擊者幾乎相同的方式不斷挑戰和評估運行環境，以迅速發現錯誤配置。

將這兩種評審和持續安全驗證方法結合起來會給安全檢查增加一些復雜性，但是值得花時間。