如何通过 7 个简单步骤提高端点安全性

管理员控制安装在其服务器上的软件及其配置,但他们不控制端点、使用软件和访问数据的设备。 随着客户端-服务器软件交付模型(尤其是软件即服务)的普及,端点安全变得越来越重要。 但鉴于可能用于访问软件的设备种类繁多且用户缺乏安全意识,服务器管理员无法保证端点安全。

用户丢失已登录的设备、选择弱密码、共享密码、安装恶意软件并陷入网络钓鱼攻击。 由于缺乏对端点和用户行为的控制,服务器管理员不能依赖端点的安全性。 但是管理员可以配置服务器来限制不安全端点的影响。 假设端点本质上是不安全的,他们可以实施服务器安全策略来防御受感染端点的最坏后果。

1. 多因素认证
多因素身份验证是第一道防线。虽然它不会保护软件和数据免受登录设备丢失的影响,但它可能会限制攻击者从丢失或被盗的笔记本电脑或移动设备访问敏感信息的能力(假设移动设备不用作第二个认证因素)。多因素身份验证还有助于保护服务器和软件免受针对易受攻击端点的暴力和字典攻击。

启用多因素身份验证还不够,管理员必须要求在用户登录之前在应用程序上启用 2FA,以确保正确使用多因素身份验证。

2.限制横向移动
一旦攻击者通过不安全的端点获得访问权限,他们的目标通常是进一步进入网络,寻找有价值的数据并访问关键基础设施。有效的系统管理员采用多种策略来限制攻击者扩展其滩头阵地的能力。

最小特权原则。所有用户帐户都应具有与实现用户目标兼容的最低访问权限。如果 Web 开发人员只需要对托管在服务器上的网站进行 SSH 访问,则他们不需要登录 root 帐户或拥有 root 访问所需的证书/凭证。确保丢失和被盗的端点设备仅具有所需的权限。
使用单独的设备进行管理员访问。如果可行,仅允许从有限的设备子集进行 root 或管理员访问。确保尽可能锁定这些设备并在安全的环境中使用,即不在早上上下班途中或在 WiFi 网络不安全的地方使用。
不要以纯文本形式存储密码。在 2019 年,没有人应该以纯文本形式存储密码,但它仍然会发生。确保使用慢速散列算法对所有密码进行加盐和散列处理,并且确保散列值未存储在可通过不安全端点轻松访问的服务器上。
简而言之,配置服务器和软件,使得对不安全端点的访问不会让攻击者访问整个网络。

3. 维护可靠的备份
重要的是要意识到,即使是最受保护的端点也容易受到勒索软件和其他类型的恶意软件的攻击。它可以像点击可疑电子邮件中的链接一样简单,这会导致整个网络连接不当的设备被勒索赎金。

使用云备份提供商维护可靠的备份并定期对其进行测试是确保设备受到威胁时不会丢失重要业务信息且无需支付赎金的唯一方法。

4.利用VPN
保护端点的最佳方法之一是将内部公司资源的访问限制在物理上位于网络中的设备上,如果需要远程访问,则通过同样受多因素身份验证保护的 VPN。

这确保了如果设备丢失或被盗并尝试连接到私人公司资源,它将无法连接和窃取任何数据。

5. 密钥和密码轮换
密钥轮换通常很麻烦,以至于服务器管理员避免使用它,但是,对于 SSH 密钥,这是从不再需要它的端点删除访问权限的有效方法。对于用于加密数据的密钥,密钥轮换还限制了在特定密钥下加密的数据,从而限制了密钥泄露时可能泄露的数据。

手动旋转键容易出错,最好使用 Ansible 等自动化框架来处理旋转。

尽管安全行业存在争议,但密码过期对于您的组织来说也是一个不错的策略。如果系统在过去没有被检测到就被入侵,密码过期系统至少意味着可能暴露的密码不再有效。 6

6.监控用户活动
网络管理员应该持续监控网络流量是否有异常行为。网络流量的任何急剧增加都可能是受感染的端点将数据从网络传输出去,或者设备被用作僵尸网络攻击的一部分。

Crowdstrike 等软件可以帮助监控和保护端点设备,并立即向网络工程师报告可疑活动。这些解决方案可以使用机器学习和人工智能来检测设备何时访问危险文件或开始出现可疑行为,并迅速断开设备与网络的连接,以确保它不会传播到其他端点。

7.一致的补丁
如果没有强制性的补丁提醒,任何关于服务器安全的文章都是不完整的。修补可修复安全漏洞,如果您不修补和更新服务器和端点上的软件,它们将很容易受到攻击。在服务器上打补丁非常重要,因为软件漏洞通常被通过受感染端点获得访问权限的攻击者用于提权。

如果您无法跟上最新的服务器安全和管理实践,请考虑聘请服务器管理团队来提供帮助。查看我们的信息图,了解为什么您应该考虑为您的服务器提供托管服务。

总之
端点安全性很重要,但服务器托管客户端无法保证连接到其服务器的受信任设备的安全性。为了降低风险,他们应该假设端点设备将受到损害,并努力限制源自受损害设备的攻击的影响。

对端点安全或如何更好地保护您的服务器免受攻击有疑问/立即预订免费咨询,我们可以帮助您审查您的托管和服务器管理需求。