企業資料儲存環境漏洞百出 不安全的關鍵漏洞和儲存協議問題佔主要

新的研究發現，很多企業機構沒有對其資料儲存和備份系統進行適當地保護使其免受網路攻擊的傷害。

新的一項研究顯示，儘管勒索軟體攻擊急劇增加，但企業儲存和備份環境的安全狀況比IT基礎設施的計算和網路層要脆弱得多，軟體安全漏洞更是為其增加很大隱患。

Continuity 最近分析了來自於銀行、金融服務、運輸、醫療保健和其他行業客戶的423個儲存系統收集的資料。所分析的系統包括儲存區域網路/網路附加儲存 (SAN/NAS) 系統、儲存管理伺服器、虛擬SAN、虛擬儲存系統和資料保護裝置。

分析表明，許多儲存環境都存在安全漏洞，一旦發生勒索軟體攻擊，或者試圖竊取、克隆、修改或破壞資料得攻擊，這些安全漏洞就會使企業面臨更大更嚴重的中斷風險。

在這項研究中分析的423個儲存系統中，有超過6300個獨特的安全問題。每臺裝置上平均存在15個漏洞，其中3個是關鍵漏洞，如果被利用將有造成重大危害的風險。

最常見的安全風險包括易受攻擊或配置不當的協議、未修補的漏洞、過於寬鬆的訪問許可權、不安全的使用者管理和身份驗證控制等。

有些安全漏洞是缺乏意識和知識造成的，此外團隊之間缺乏協作和有效溝通也助長安全漏洞的數量，如資訊保安團隊可能很瞭解這些問題，但IT開發團隊並沒注意。

Continuity的技術長表示，雖然知道會有差距，但沒想到差這麼多。這項研究表明了，儲存和備份系統中的安全漏洞很普遍，造成問題有多個原因，如意識、規劃、實施和控制等。

協議問題

對於儲存協議，Continuity 發現研究中的許多組織要麼沒有禁用各種協議的舊版本，例如 SMBv1 和 NFSv3，要麼預設使用它們。同樣常見的是繼續使用舊的(不再推薦)加密套件，例如 TLS 1.0 和 TLS 1.1，以及未能違反 PCI DSS 等法規禁用 SSL 2.0 和 SSL 3.0。此外，Continuity 發現公司經常沒有對關鍵資料饋送實施加密。

在Continuity的研究中，423個裝置中有很大一部分的配置方式是，它們提供對共享儲存的無限制訪問，或者可以從外部網路訪問。

Continuity發現，企業在身份驗證和基於角色的訪問控制方面沒有像在其他IT環境中那樣嚴格。在許多情況下，企業使用預設系統帳戶執行日常任務，或者共享管理員密碼。

角色分離的基本原則也常常不被遵守。例如，用於資料管理的相同角色也用於資料備份和快照。同樣，Continuity研究中，15%或60多個儲存系統根本沒有記錄任何活動。相當大比例的系統至少開啟了一些日誌記錄，其配置方式使它們容易受到操縱。

Continuity表示，儘管新的儲存系統提供了針對勒索軟體攻擊的特定保護措施，例如鎖定保留的資料副本並防止資料被篡改或刪除，但這些功能經常被忽視。使用時，它們的配置不符合供應商推薦的最佳實踐。

這些問題的累積效應大大增加了企業組織的風險。

“成功的勒索軟體只是冰山一角”。成功訪問儲存環境的攻擊者可以破壞所有可用的恢復選項，包括副本、備份、不可變副本、基於儲存的快照和恢復金鑰。

其他風險包括攻擊者使用他們對儲存環境的訪問許可權來克隆或更改敏感資料而不留下任何痕跡。

從技術上講，儲存管理員應該可以輕鬆檢測環境中的已知安全漏洞 (CVE)。然而，大多數企業至少在一定程度上沒有實現這方面的自動化，因為現有的漏洞管理工具沒有很好地覆蓋儲存和備份。有些供應商不提供任何覆蓋，而其他供應商也可能只是做做表面功夫。

產生、儲存、使用“資料”的主體，均為軟體，保障資料安全的第一步是保障軟體自身的安全。網路安全人員建議企業首先要清楚地瞭解自身軟體情況，包括他們自身開發的軟體和來自軟體供應商的部分。如在開發軟體期間使用安全可信的 靜態程式碼檢測工具，幫助開發人員減少30%-70%的安全漏洞，有效提高軟體自身安全。為資料儲存和備份建立安全基線，確保資料儲存軟體安全是整個企業事件響應計劃的重要一部分。

企業需要從現在開始更加關注資料儲存和備份的軟體安全性，如果此時還沒有安全意識，企業的網路環境將更容易受到以資料為中心的攻擊，如勒索軟體攻擊，並且削弱企業網路系統的恢復能力。

參讀連結：