关于网络研讨会
你知道良好的网络安全实践是什么样的;也许你甚至在你的组织中建立了它们。文件在传输过程中被加密,工作站和服务器受到强大的密码策略的保护,防火墙和黑名单保护内部网络免受入侵者的入侵,员工对网络钓鱼攻击了如指掌。
一切都很顺利。。。然后你会遭遇严重的数据泄露,你不知道为什么。你不是把所有的基地都覆盖了吗?
实际上,很容易漏掉某些危害文件的暴露和漏洞。最小的安全漏洞可能会危及一切,并给你留下一个烂摊子。但幸运的是,一旦你确定了薄弱环节,它们往往很容易修复。
在本次网络研讨会中,请加入GoAnywhere解决方案顾问Rick Elliot,探讨组织经常遇到的十大文件传输风险,包括:
- 通过FTP传输公开密码
- 在DMZ之外存储文件服务器
- 使用您自己的代理软件
- 缺乏适当的密钥和证书管理
风险和不安全感无处不在,有时很难发现。了解如何避免常见的陷阱,然后了解如何使用安全的文件传输解决方案(如GoAnywhere MFT)保护数据。今天就看!
脚本
布鲁克:大家好。感谢您参加今天的关于十大文件传输风险以及如何避免这些风险的网络研讨会。我们很高兴你能来,希望你觉得我们今天的演讲很有帮助。在我们开始之前,有几条家政记录。我们正在录制此活动,网络研讨会结束后,您将收到我们的后续电子邮件,其中包含录制链接,以防您错过任何部分或希望与他人共享。活动安排一小时。如果您在整个活动中有任何问题,请通过屏幕右下角的问答窗口提交。我们有一些团队成员,他们会在问题出现时回答你的问题,我们也会在活动结束时现场回答问题。最后,在网络研讨会结束时,您将看到一个快速调查弹出窗口。请务必填写,这有助于我们了解我们是如何做到的,以及演示文稿的哪些部分对您最有帮助。如果你有今天电话中没有回答的任何问题,你可以在那里输入这些问题,有人会回复你。好吧,让我们看看今天网络研讨会的议程。
我们有一个非常直接的议程。因此,我们将从快速介绍主题开始。我们将介绍您在日常环境中可能面临的10种常见文件传输风险。我们将为您做一个简短的GoAnywhere MFT概述,最后我们将有时间进行问答。让我介绍一下今天的演讲者。
关于演示者
今天的主持人是里克·艾略特。Rick是HelpSystems的首席解决方案顾问,自2012年7月以来,Rick一直与我们的GoAnywhere managed file transfer解决方案合作。关于他的故事,有一点很巧妙,那就是之前在折扣轮胎公司工作时,里克实际上使用了GoAnywhere。因此,他有一个非常独特的视角,他走遍世界各地,帮助我们的客户进行培训和迁移以及各种各样的事情。他真的知道自己在说什么。一个有趣的事实是,里克住在凤凰城之后,这在今天我们被白雪覆盖的明尼苏达总部是很难想象的。好吧,那就是里克,我让里克来接。
里克:蓝天和温暖的天气真好。也许是几片云和几棵棕榈树。我没意见。但大家好。我叫里克·艾略特。正如她所说,我是HelpSystems的首席解决方案顾问,我已经为这个产品工作了相当长的一段时间,并与许多公司合作,了解这个产品,安装它,使用它,利用它实际拥有的功能。今天我想谈谈如何进入FTP,并了解您需要了解的内容。使用FTP有什么风险?
首先,让我们问问你自己,你有没有发现自己说过这样的话:“我的公司太小了,我没有IT部门,所以我所有的FTP都是从我的桌面上完成的。我用Filezilla,或者WinSCP,或者类似的东西,“你会发现自己在说,“嘿,这家公司太小了,还是中等规模。我们真的不担心这个。我不认为有太多的公司会和我们捣乱,或者黑客真的关心我的公司。我很肯定公司里有人已经处理好了。”或者你停下来说,“网络管理员或者系统管理员已经处理好了。最后,但同样重要的是,你是否真的说过,“好吧,我很确定我们从来没有被黑客入侵过。”
如果你问过自己这些问题,你可以诚实地回答他们说,“我很确定我从来没有被黑客攻击过”,很可能你已经被黑客攻击过了,你甚至都不知道。尤其是在使用FTP时。现在,如果您使用FTP协议与网络之外的公司进行通信,则可能会发生不同的情况。当您无法安全地保护与之通信的站点时,就会发生这种情况。您基本上允许目录列表或匿名FTP访问。您没有正确保护网络。您在特权帐户下运行作业,或者未设置正确的ACL或防火墙规则。所有这些都使攻击者更容易扫描漏洞。他们将寻找一些方法来提供更高的访问权限,特权进入你的系统。
更不用说如果你有一个庞大的或训练有素的员工,这意味着他们不明白,不知道在这些情况下会发生什么。这完全增加了一个人进行社会工程攻击并获得成功的几率。想想你的公司是否有高流量、高收入、大量敏感数据、HIPAA、PCI等等。如果都有呢?这会立即让你面临更大的风险。在这种情况下,你比其他大多数公司都更有针对性,而这些正是我们想谈的。
数据泄露统计
看看这里的几个统计数据,你可以看到身份盗窃资源中心说,2016年有超过1093个数据泄露,比2015年增加了40%。太多了。公司平均支出约737亿美元。那是2016年的B。这比2015年增长了近10%。我敢肯定,我们走得越远,这个数字就越大。这意味着越来越多的大公司和小企业将安全转移作为他们真正需要解决的问题。敏感数据、个人数据、PCI、HIPAA等。他们现在真的在看这个。那么,在传输敏感数据(甚至是内部数据)和将数据传输给贸易伙伴之间,您的公司处于什么位置?在降低使用FTP的风险和从贸易伙伴或内部获取数据之间如何平衡?您是否愿意通过使用FTP来降低这种风险?这就是我们想讨论的问题。
如果你仍然认为自己不易受伤害,想想这些东西。如果你知道你在使用FTP,你的FTP服务器上有密码猜测功能吗?意思是如果你在三到五次内没有正确输入密码,我就要禁用这个帐户。如果你有一个,你有激活它吗?有些公司不这样做。你强制定期更改密码吗?30天,60天,90天,随便什么。您有拒绝服务或暴力攻击功能吗?你能为你的FTP服务设置一个敏感级别吗,这样如果有人试图闯入你的门,你就可以通过一个自动的IP黑名单来关闭它?是否已启用?恶意名称,您是否检查它们以确保没有人试图以root、admin或administrator身份进入您的系统?你知道,如果他们用这个用户ID登录,他们就不会想要烤饼干和开心。
您的匿名功能是否已禁用?你还允许人们匿名登录你的系统并上传或下载文件吗?你有内置密码智能吗?您是否在密码中添加了某种功能?意味着它必须是X字节数,或者至少包含一个或两个特殊字符和数字值以及大小写,才能控制访问?您是否使用双因素身份验证?您是否提供了一种方式让某人提供多重访问,如PIN码或与密码相关的内容?一个SSH。你的MFT服务器旧吗?很多时候,人们把自己的MFT服务器当作其他情况下的剩菜。我见过一些人用2000年,2003年,甚至更早。它们更新了吗?它们是否包含最新的服务器更新、安全更新,以及允许您控制环境中发生的事情?不是沟通,只是环境?最后,你是否使用免费软件进行通讯?你在免费软件里储存信息吗?你是否指望有人真的创造了一个免费软件,然后说,“这里,使用”,而你真的不知道其中包含了什么。
破坏受害者的例子
让我们看看房间里的大象,谈谈这个。IHG,谈论假日快捷酒店或Staybridge或Candlewood。他们有报告说,成千上万,甚至有时数百万点被窃取,并用于欺诈预订。这是一大笔钱,可能会从他们的眼皮底下消失,仅仅因为他们无法控制它。ESEA,他们泄露了150万条记录。他们说黑客联系了他们,他要求10万美元的赎金只是为了他的信息。太多了。
雅虎。如果你有一个雅虎帐户,它被黑客入侵。30亿个账户,被黑客入侵。信息,用户ID,密码,姓名,位置。他们与那个账户有关的任何信息都被黑客入侵了。目标是,超过4000万个信用卡和借记卡信息被盗。再说一次,这些公司认为他们已经控制了it,或者他们实际上已经有了安全措施。哪里出了问题。而到了最近,房间里的大象,益百利与1.43亿美国人的信息被曝光。超过美国一半的人口。他们认为他们实际上是在正确地利用事物,而这些人把大量的钱投入到安全上。如果你没有,你认为你没有暴露,或者使用它没有风险?
所以好好想想。你真的准备好使用FTP了吗?如果这种规模的公司正在使用他们无法控制的东西,或者有人入侵并进入了这个安全系统,至少值得一看并确保。
风险1:泄露用户ID和密码
因此,让我们在这里逐步分析一下您对FTP的实际想法,以及是否值得降低使用FTP的风险,而不是拥有数据或允许某人访问您的系统。你有没有意识到,在这里你要做的一件更重要的事情就是你要泄露用户ID和密码,主要是因为这不是一个安全的传输协议。用户凭据未加密。他们被派往清场。用户ID和密码。
这些数据可以在传输过程中被嗅探和窃取。互联网上有大量的文献,根工具包,嗅探软件,密钥记录器,所有这些你可以在互联网上识别出来的东西,以找出如何做。请记住,各位,我不是在谈论来自外部来源的入站通信,因为我是内部员工,或者内部人员,他们可以获得他们不应该拥有的信息。代码注入攻击是最常见的事情之一。有人把东西放在那里,实际上会。。。他们会在你的系统上植入某种恶意代码,然后利用这些弱点。
这意味着他们可以入侵凭证,用户ID,密码。安装特洛伊木马和病毒进入并查看,然后进行不充分的嗅探,并从传输中提取信息。尤其是在使用FTP时。在发送数据之前,尝试使用SFTP、OpenPGP等协议对数据进行加密。FTPS、HTTPS或AS2。所有这些都需要一个安全的通道。它们使用SSL或SSH。它们使用更加密的定义传输协议,您可以利用该协议来保护从一个实例到另一个实例的传输。阻止这些情况,如果你不开放的话,那么你就不太可能被黑客攻击。始终确保您的ID和密码是加密的,即使是在休息。永远不要把它们存储在你的本地计算机上,总是,总是禁用匿名,除非你在一个受控制的环境中,你知道它的用途,或者你不在乎是否有人入侵了那个系统。总是有可能的。
风险2:发送不安全的纯文本电子邮件
纯文本电子邮件。始终发送数据。”哦,没关系,我只是发邮件给某人。我可以把这个附件放在那里,没人会注意到的。”不,任何通过电子邮件的敏感数据都会被暴露。即使是在文档中,它也会将这些数据存储在exchange服务器上。任何是管理员或有权访问exchange服务器的人都可以访问数据。总有可能有东西寄错了地址。你可以在这里做的是你可以提供一个安全邮件服务器。
不允许敏感数据保存在exchange服务器中。在静止时加密存储。利用加密文件存储检索。密码保护链接。提供加密链接。将数据存储在没有开放入站防火墙规则的防火墙后面。把数据放在那里,以一种安全的方式利用它,现在您可以移动这些数据,并与您的贸易伙伴和客户安全地共享这些数据。
风险#3:将数据暴露于DMZ(非军事区)
你向DMZ公开数据了吗?很多公司仍然有这个。他们会在DMZ服务器上有一个监听器,比如SFTP监听器FileZilla之类的。然后他们会将文件从他们的私人网络传输到DMZ服务器,然后告诉客户,“嘿,文件在那里,你可以来取”,然后他们连接并下载文件。或者他们把文件上传到DMZ服务器上,然后你每隔一段时间去检查一下,看看有没有什么东西,然后把它拿到你的私人网络里。它暴露了。如果人们能到达非军事区,他们可以用它做点什么。
你有更高的风险被黑客以这种方式访问。仅仅因为DMZ是暴露在互联网上的,现在你必须建立一些手动脚本和模拟移动的东西。如果你把它们放在DMZ服务器上,仍然不是一个好主意,因为它们可能被黑客攻击。解决方案是安装一个反向代理网关。在DMZ中放置一个没有信息、没有用户ID、没有密码、没有数据的侦听器。把它放在没有入站防火墙规则的防火墙后面。将数据保存在专用网络中。这样你就不会暴露在一个开放的互联网接入被黑客攻击。只允许有身份验证的人进门。记录、记录、保持必要的合规性,以了解谁进来,谁取东西,谁掉东西。永远不要在DMZ中存储数据,不管它是否敏感。我不会把数据放在那里,让别人去侵入,如果它是我不想四处飘荡的东西,特别是如果它与我的生意有关的话。
风险4:网络中有开放的端口
入站防火墙规则允许黑客获得基本的系统访问权限。这是真的,因为一直以来。它可以允许他们拥有足够的特权来危害您的系统,访问关键的应用程序和服务,甚至可能直接访问您的生产系统。有很多种方法可以做到这一点。我见过很多次客户说,“好吧,我要建立一个FTP连接到我的系统,让我的贸易伙伴登录,然后把文件放下来。”这很好,但是如果FTP访问没有被控制,或者他们打开了,突然间你允许引用命令,它们可以在你不知道的系统上执行命令。或者用它来做一些你不想让他们做的事情。同样,通过反向代理将它们推送到您的专用网络之外。除非他们有权限,否则不要让他们进来。
如果可以,在专用网络前面放置一个反向代理网关。这是你最好的选择,因为你没有入站防火墙规则。确保你更新和维护你的电脑防火墙和安全补丁。及时了解最新情况。你做得越多,就越有可能不被黑客攻击。
风险五:使用自己的代理软件
你使用自己的代理软件吗?也许在你的IT部门有一个叫乔的老家伙,他在20世纪70年代和80年代创建了一个代理软件,从那时起你就一直在使用它。旧技术可能会也可能不会给你你需要的或你认为你得到的东西,但人们会自满地说,“嘿,这已经永远这样工作了。我真的不想质疑这一点。”
我是来告诉你的,你需要质疑一下。过来看。配置是否正确?你们有进出港吗?如果有入站端口,则存在漏洞。采用现代化的代理、反向代理技术。好好利用它。保护你的网络,锁上门,在前面放个保镖。这就是我们要说的。控制谁可以进出你的系统。在您的专用网络中保持对该代理的控制,而不是在DMZ中。那样的话,在非军事区就没有人可以接近的了。这简直就是一个通行证。同样,尽量远离那些进入你的专用网络的入站端口。这总是会带来一种可能性。
风险6:编写和维护脚本
然后你就得看看维护脚本了。好的,我有脚本定义吗?大多数时候,公司会使用这些脚本、批处理脚本、shell脚本、PowerShell脚本、JavaScripts,并将它们存储在DMZ上。当事情发生时,他们会做一些动作,或者他们会做一些暴露自己的动作。在内部,也许你有。然后你和你的客户交流,突然你说,“这个团队运作得很好。我只是想复制一下,改变一些东西,然后把它用在另一家公司上。”然后它就越来越大了。接下来,你知道,你有25,30,40个脚本做完全相同的事情。他们之间唯一的区别是他们指向不同的客户。现在你必须管理好每一个。如果你的日常生活中有一件事发生了变化,你就有40个不同的脚本需要检查和修改,更不用说那些与每个脚本相关的公司的所有个性化信息了。
公开的密码、IP地址、DNS、URL。没有集中审计。跟踪问题是一个问题。更不用说如果你需要回去查一些东西,一个审计或者报告要做某种合规性的报告,在这一点上不容易做到。使用集中的、通用的基于角色的脚本解决方案。创建一些我可以传递参数的东西。对所有客户都做同样的事情。这样我就可以控制它了。当我有问题并且正在移动数据时,它会自动通知我。如果我没有成功地传输数据,或者没有成功地加密、复制或移动数据,那么我就是在提取一无所有的数据。
让我能够识别这些东西,并生成自己的处理例程。更不用说日志和审计了。我必须处理联邦、州和地方实体摆在我面前的所有合规和授权。我要知道什么时候,谁捡起什么东西,谁扔下什么东西。
风险7:使用免费、过时的PC应用程序
你是否使用免费和过时的PC应用程序?如果你这样做,那就意味着你必须有一个专门的人员谁了解和知道,免费或过时的PC应用程序。如果他们离开公司,会发生什么?如果是免费的,他们对这个产品了如指掌吗?这里有一个假设,即免费产品实际上处理授权和合规性报告,但你不知道这一点。或者是有什么东西不见了,而你却找不到。
你依赖于社区建议报告。也许是你去读的博客,因为你需要找出你发现的某个问题是否有问题。现在你只能任由一个人摆布了,他用自由软件对你进行了修改。你确定那是真的吗?有什么办法可以解决吗?看看有管理、培训和教育的认证安全软件。帮助您确定这些问题、设置和传输的人员。要知道有值得信任的人。他们有合规性和任务报告。他们愿意向您提供报告,并向您展示您实际上可以提供详细的传输日志。它们定期更新,包括功能丰富的产品增强功能。它们不断成长。他们一直在变。他们不断地提高it容量,因为it行业就是这样。事物在成长,也在变化。这是我们可以提供的。
风险#8:没有正确的密钥和证书管理
查看您的密钥和证书管理。你有钥匙库吗?你有命令行权限吗?如果没有,这些用户ID可能会被窃取。人们可以访问你的系统。它使您的系统易受攻击,如果您无法控制这些证书中的密钥,则会影响您的操作。安装一个安全的加密密钥管理系统,一个密钥库。实现对密钥和证书更新的基于角色和日志的访问。知道谁进行更改、更新或删除。为通信提供集中访问。这样你就知道会发生什么。你知道什么时候有东西进门,什么时候有人认证或者什么时候有东西更新了。知道你体内发生了什么。
风险9:缺乏内部安全控制
你缺乏内部安全控制吗?大多数公司都会忽略它们。他们对自己的想法不多。客户登录。他们是否允许IP地址?白名单,黑名单。我有我不接受的IP。这是全球性的吗?这意味着我必须为我的整个系统定义它,或者我可以对特定的用户这样做吗?也许你有员工,你想能够进入你的系统,上传和下载,但你只想这样做时,他们在你的公司IP范围内,而不是当他们坐在星巴克。
你能控制吗?暴力、拒绝服务攻击、恶意用户等等。你能控制这些情况吗?你能对你的网络安全进行细化吗?如果有人登录到你的系统,我可以提供一个文件夹,他们只能从列表和下载。他们什么也做不了。你能在FTP协议上达到这个水平吗?你能保护你的基础设施吗?我能控制他们登录我的系统时能做什么吗?是还是不是?这就是我们要找的。
风险#10:没有用正确的权限保护您的系统
所以这里的问题是,你认为这真的会影响你吗?是的,如果你使用FTP,你是易受攻击的。它是一个易受攻击的协议。就像老话说的,说不就行了,别用了。使用SFTP或FTPS,HTTPS,一些可以控制你做什么,以及你如何做的东西。
GoAnywhere MFT概述
所以现在我想说的是给你们一个关于GoAnywhere可以做些什么来帮助你们的概述。GoAnywhere提供了一个网关。我们提供给你的服务,把一个DMZ服务器,允许通信进入你的系统没有入站防火墙规则。没有用户ID,没有密码,没有密钥,没有证书,没有数据,DMZ中没有存储任何内容。一切都留在私人网络里。
通过专用网络控制访问。数据在专用网络中。我们允许有人进来取东西或放下东西。在反向代理之上,我们还允许循环负载平衡,这意味着我们可以处理高可用性和更快的吞吐量。所以这里有很多你可以利用的东西,只要把你想要交流的东西锁在前门就行了。是否有FTP的替代方案?当然。GoAnywhere提供代理。代理允许您集中控制远程文件传输和工作流。这意味着我可以在一个服务器上安装一个代理,我一直在服务器内部来回移动数据。我可以在远程位置安装一个,甚至在云中。
现在我可以实际执行、监视文件、查找信息、在这些远程代理上的文件夹之间传输信息,无论是内部的还是外部的,而且我可以安全地做到这一点。所以现在,当有人上传一个文件到他们的入站文件夹中,他们总是用这个文件夹来连接我,如果他们真的通过代理连接到我,我就可以把这个文件放到另一个州的远程服务器上。我可以监视远程服务器中的文件,将它们提取起来,带回公司办公室,将它们与其他位置合并,这样我就有了每日销售或每日库存。我可以通过这种通信来保持这种状态,而不必使用FTP或SFTP。很多公司都会在这种情况下使用FTP。伙计们,它仍然不安全,但一个代理实际上会保护这个通信,甚至在你的私人网络内。
Secure Mail是一种选择。secure Mail不只是将电子表格放入电子邮件并通过Outlook发送,即使其中包含安全数据,它也允许您实际获取该文档,上载该文档,将其存储在加密位置,生成返回该文档的加密路径,对其进行密码保护,并限制下载次数和访问次数可用天数。这样,一个或多个收件人,如果他们发送到多个,得到一个链接回到您的私人网络,以拿起该文件。我们记录了所有关于那个连接的信息。当他们连接,如果他们下载,它是成功的,多少次,他们留下了密码访问该链接。所有这些都会被记录下来。我们知道发生了什么。如果是通过交换,你就无法控制。
还有一个好处,我们只上传一次文件。我们不在乎文件的大小。因此,如果您有一个需要发送给20人的单gig文件,大多数情况下,您的exchange管理员不会让您这样做。所以我可以通过安全邮件控制这一切,并实现这一点。这还包括一个Outlook插件。这意味着我可以将其与outlook2010及更高版本集成。然后我可以像其他任何一天一样键入电子邮件,向客户、贸易伙伴或员工发送电子邮件,但实际上我可以单击加载项按钮将其直接与Outlook关联。我可以利用的方法。
我们有另一个选择叫做安全表单。对于我来说,这是一种通过web客户端向客户或外部公司请求信息的方法,然后上传文件,请求围绕特定上传的元数据。姓名、地址、电子邮件地址、电话号码、邮政编码、帐号。所有这些使用HTTPS的信息都是安全的通信传输。快速而简单的方法,使转移跨越。现在我可以在幕后自动移动这些数据了。我可以把他们给我的帐号和数据库表进行比较,确认他们知道自己是谁。在我接受数据之前,名字匹配,帐号匹配。再说一遍,一切都安全了。这也为您打开了利用SOAP和REST请求的大门。这意味着您实际上可以通过GoAnywhere拥有一个可消费的web服务。他们可以通过REST海报REST-get与您连接,基本上通过HTTPS自动化提供这些信息。有多种方法可以做到这一点。
原文:https://www.goanywhere.com/resource-center/webinars/webinar-recordings/recording-20180228
本文:http://jiagoushi.pro/node/1472
讨论:请加入知识星球【超级工程师】,微信【it_training】或者QQ群【11107767】
- 登录 发表评论
- 23 次浏览
最新内容
- 1 hour ago
- 1 hour ago
- 3 days 3 hours ago
- 3 days 16 hours ago
- 5 days 3 hours ago
- 5 days 21 hours ago
- 5 days 21 hours ago
- 5 days 21 hours ago
- 5 days 21 hours ago
- 5 days 21 hours ago