存儲系統成IT基礎設施安全薄弱環節

根據網絡安全公司Continuity Software的調研報告，IT基礎設施各層級中，存儲系統的安全狀況明顯弱于計算和網絡設備這兩層。

通過分析來自400多臺企業存儲設備的數據，研究揭示了與15個漏洞相關的6300個不同安全問題，平均而言，這15個漏洞幾乎每臺企業安全設備都會遇到。調研涉及的設備來自Brocade、思科、戴爾易安信、IBM、日立數據系統和NetApp等供應商。

Continuity創始人兼首席執行官Gil Hecht在聲明中稱：“無論是從安全角度還是業務角度來看，在計算、網絡和存儲這三類主要IT基礎設施中，存儲系統具有的價值通常是最高的。存儲設備的安全漏洞和錯誤配置呈現出巨大的威脅，尤其是在近幾年來勒索軟件攻擊頻頻將企業玩弄于股掌之間的情況下。然而，根據我們的分析，大多數企業存儲系統的安全狀況都弱到令人震驚的程度。”

企業需要立即采取行動，更好地保護自身存儲和備份系統，從而確保數據不受勒索軟件和其他網絡攻擊的侵襲。

此項研究檢測出的15個主要漏洞中，有三個漏洞的級別被定為極其嚴重，會帶來非常高的安全風險。報告還列出了企業團隊未能充分遵守的170條安全原則。

最大安全風險包括協議漏洞

報告中提到的三大漏洞是脆弱的協議或協議設置、未解決的CVE（通用漏洞與暴露）漏洞，以及訪問權限問題。其他重大漏洞則涉及不安全的用戶管理與身份驗證，以及日志不完善。

報告指出，脆弱協議/協議設置常與未能禁用或允許使用SMB（服務器消息塊）v1和NF（網絡文件系統） v3等老舊版本協議相關。脆弱協議/協議設置還源自使用TLS（傳輸層安全）1.0和1.1、SSL（安全套接字層）2.0與3.0等安全專家不再建議使用的協議套件。

報告還揭示，企業使用的通用漏洞管理工具不檢測很多存儲CVE，而是專注檢測服務器操作系統、傳統網絡設備，以及軟件產品。這就導致大量存儲設備（接近20%）暴露在風險之中。研究覆蓋的調研環境中共檢測出70多個CVE。

重大訪問權限問題包括大量設備受到不當配置的影響，例如訪問共享存儲不受限制、采用不推薦的分區和屏蔽配置、能從外部網絡訪問存儲等。

不安全的用戶管理與身份驗證指的是使用不推薦的本地用戶、采用非個人管理員賬戶、不強制執行會話管理限制，以及職責/角色分離不當。

存儲技術中發現的漏洞

Continuity收集了北美和EMEA（歐洲、中東和非洲）20多個客戶環境的匿名輸入，涵蓋銀行與金融服務、交通運輸、醫療保健、電信和其他行業。塊、對象和IP存儲系統、SAN/NAS、存儲管理服務器、存儲設備、虛擬SAN、存儲網絡交換機、數據保護設備、存儲虛擬化系統和其他存儲設備的配置都囊括在分析范圍之列。

研究中使用了Continuity Software的自動風險檢測引擎來衡量存儲層面上的多個錯誤配置和漏洞，這些錯誤配置和漏洞可能對企業數據構成安全威脅。

Continuity首席技術官Doron Pinhas稱：“數據科學家參與了此項研究，但我們基本上用的是收集到的原始信息。我們用自有專屬數據映射工具處理數據。因此，在IT管理的方方面面（不僅僅是圍繞數據和存儲），企業面臨的問題之一是獲得可見性：找出自身所有資產，弄清楚它們是如何配置的，捕獲相關配置數據，并持續跟蹤。”

Pinhas表示，Continuity使用大型知識庫來描述可能的漏洞，還采用自有技術來審查收集到的數據并找出存在哪些漏洞，然后再將這些信息輸入數據庫并用各種指標進行分析。

此項研究還發現了一些其他不那么嚴重的問題，例如勒索軟件防護功能的不當使用、未登記的不安全API/CLI，以及存儲軟件供應鏈管理中的漏洞和監管缺失。

報告還指出，地理位置與存儲安全成熟度之間的相關性較弱，這意味著所測得威脅的頻率和嚴重性未隨位置的變化而變化。

有多少公司能夠保護自身

報告提出的一些建議包括：評估現有的內部安全制度以充分納入存儲基礎設施，確定存儲安全方面可能存在的知識空白，并建立/改進安全計劃來填補這些空白。報告還鼓勵使用自動化來持續評估存儲基礎設施的安全狀態。

Pinhas表示：“我們建議客戶盡快映射數據分類。首席信息安全官承認他們在這方面不擅長。我覺得企業應該真正建立自身安全基線的清晰視圖：‘我們都有哪些資產？’了解這些資產會遭遇怎樣的攻擊。要對攻擊面有相當清晰的認知。而好消息就是，我們擁有此類資源和技術。”

在上個月發布的類似報告中，市場研究公司Gartner寫道，大多數勒索軟件攻擊針對網絡共享中的非結構化數據集，因而集中文件存儲解決方案成為了極具吸引力的大規模數據加密和/或數據滲漏目標。

Continuity Software《存儲安全狀況》報告下載地址：

https://www.continuitysoftware.com/resources/the-state-of-storage-security-report/

Gartner《創新洞見：網絡存儲解決方案保護非結構化數據免遭勒索軟件侵害》：

https://www.gartner.com/doc/reprints?__hstc=188485175.9fcd9fb4d178632301d273e9799c76ba.1629221855251.1629221855251.1635859357557.2&__hssc=188485175.1.1635859357557&__hsfp=780518289&id=1-27PD98KY&ct=211021&st=sb&submissionGuid=30032472-49e7-4678-8090-b35a9396248b