非常时期需要采取非常措施。
鉴于新冠肺炎疫情,许多人都说过这句话。 对于我们许多人来说,其中一项非常规措施就是转向远程工作。 在这种背景下,人们经常讨论对关键应用程序的访问。 但我们很少听到有关如何实现这种访问权限的详细信息。
启用访问的方法之一是打开 RDP。 SANS 注意到Shodan 在 3 月底发现互联网上开放的 RDP 端口数量明显增加,这并不奇怪。 许多人依靠这个最基本的选项来实现直接对桌面的远程访问。
尽管 RDP 可能是目前远程访问中最常提到的协议,但似乎整个 IT 领域的操作控制台也被允许不受限制地通过公司边界。 同一个 SANS 博客包含一个非常有趣的图表,除了开放的 RDP 端口增加之外,还显示在 8080 上运行的开放端口数量显著上升。
现在,8080 是“HTTP 替代”端口。 任何部署过 Web 应用程序的人都会认识到,它几乎是框架和操作控制台的默认设置。
一般来说,操作台都有自己的访问控制方法。 凭证是必需的,因此有办法限制谁可以突然启动集群、关闭应用程序或更改正在运行的配置。当然,问题是,当我们查看由于缺乏对操作控制台的访问控制(即不需要凭证)而发生的事件数量时,毫无疑问,其中一些操作应用程序是完全开放的,它们与 Big Bad Internet 之间没有任何保护。
重要的是要记住,操作控制台从根本上来说是应用。 它们由外部来源的组件组成,就像任何其他应用程序一样。它们使用与任何其他应用程序相同的库和框架进行开发。它们与任何其他应用程序部署在同一平台上。
这意味着它们需要像任何其他应用程序一样受到保护,因为它们与任何其他应用程序一样容易受到相同的攻击。
我们不能仅仅依靠将操作应用程序移动到不同的端口。 在自动化时代,不良行为者可以访问庞大的机器人网络来扫描开放端口,然后就会被发现。 加上对任何给定端口的响应进行指纹识别的能力,应用程序将会在非标准端口上被发现。 如今,通过隐藏手段实现安全并不是一个可行的策略,因为寻找目标所需的时间和财务投入非常少。
我们从研究中了解到,相当大比例的应用受到 Web应用防火墙的保护。 我们不知道这些应用中有多少比例是操作性的或面向业务的。
也许现在是时候开始寻找答案了。
随着企业在数字化转型过程中不断进步,他们将更加依赖运营应用程序来构建、部署和运营代表业务的应用程序和应用服务。 这些操作应用程序需要与任何其他表达业务功能的应用程序一样得到同等重要的对待。 它们需要受到保护以防止恶意使用,因为如果它们被滥用,就会对业务产生直接影响。
很多人说这是新常态;疫情过后,远程工作将更容易被接受,甚至对许多组织来说更受欢迎。 远程工作包括应用和基础设施的操作员,他们需要访问能够控制的控制台。 但为了实现这一目标,这些控制台(这些操作应用)需要受到保护,以免被滥用和误用。 一套基本的保护措施应该:
现在是时候确保您的安全策略包括操作应用程序和关键业务应用程序了。 因为从长远来看,运营应用程序将成为业务关键应用程序。
在外面要注意安全。 从个人角度和操作角度来说。