某些地方可能存在一些瑣碎問(wèn)題，但根據(jù)我們的經(jīng)驗(yàn)，在 100 件顯而易見(jiàn)的事情中，有 20% 總是被遺忘或沒(méi)有得到充分處理。這就是大大小小的問(wèn)題產(chǎn)生的根源。所以讓我們避免這些問(wèn)題，確保我們的基礎(chǔ)設(shè)施安全！

在本文中，我們將從我們自己的經(jīng)驗(yàn)和一些公眾所知的案例來(lái)分析這兩種情況。相信我，我們?cè)谑袌?chǎng)上的 10 年里已經(jīng)見(jiàn)識(shí)過(guò)足夠多的案例了——從使用 123qwe 等密碼被黑客入侵的服務(wù)器，到同一臺(tái)服務(wù)器上的服務(wù)器備份，再到 GitHub 上免費(fèi)提供的 ssh 密鑰。

我們并不自稱是“安全專家”，但我們想與您分享我們的社區(qū)所遇到的情況，以便您可以仔細(xì)檢查自己。

1.不僅在生產(chǎn)環(huán)境中使用復(fù)雜密碼??，還要確保與服務(wù)器的連接安全

當(dāng)然，你會(huì)記得在生產(chǎn)環(huán)境中正確執(zhí)行所有操作，但對(duì)于僅用于內(nèi)部需求的服務(wù)器呢？你認(rèn)為這微不足道嗎？是的！這就是為什么很多人經(jīng)?！巴洝彼?。擁有強(qiáng)密碼并不能 100% 保證你不會(huì)被黑客入侵，但如果你還考慮阻止通過(guò) IP 進(jìn)行的訪問(wèn)，即使密碼被破解，也無(wú)法進(jìn)入你的基礎(chǔ)設(shè)施。

案例研究： 當(dāng)客戶定期抱怨服務(wù)器上出現(xiàn)一些本不應(yīng)該出現(xiàn)的新文件時(shí)，我們?yōu)榭蛻籼峁┝舜私鉀Q方案。 我們不知道客戶如何以及在何處存儲(chǔ)訪問(wèn)密碼，但在通過(guò) IP 限制訪問(wèn)后，“神秘”文件便不再出現(xiàn)。

建議：

?在所有基礎(chǔ)設(shè)施上使用包含字母、數(shù)字和特殊字符的復(fù)雜密碼。即使該服務(wù)器每年只使用一次，而且那里“沒(méi)有什么重要的東西”

?始終更改主機(jī)提供商自動(dòng)生成的密碼。

?使用虛擬專用網(wǎng)絡(luò)管理服務(wù)器并限制除您之外的所有 IP 的訪問(wèn)。

?隱藏服務(wù)器的真實(shí) IP 地址 – 這可以大大減少潛在的損害規(guī)模。

?定期更新密碼并避免重復(fù)使用。

2.未能及時(shí)更新軟件

過(guò)時(shí)的軟件、操作系統(tǒng)或 CMS（例如 WordPress、Joomla）通常包含攻擊者可以利用的漏洞。

例如： 2017 年，勒索病毒“WannaCry”襲擊了世界，該病毒利用了 Windows 舊版本中的漏洞。 許多未安裝操作系統(tǒng)更新的公司成為此次攻擊的受害者。 該病毒加密了數(shù)千臺(tái)計(jì)算機(jī)上的數(shù)據(jù)，要求支付贖金才能解密。

建議：

?安裝所有基礎(chǔ)設(shè)施組件的更新和補(bǔ)丁。

?為關(guān)鍵系統(tǒng)設(shè)置自動(dòng)更新。

?CVE。監(jiān)控您使用的軟件中新出現(xiàn)的和之前發(fā)現(xiàn)的漏洞。

?定期掃描您的軟件以查找漏洞。

3. 制定并遵守公司的網(wǎng)絡(luò)安全政策

情況各不相同。在發(fā)生事故時(shí)，要準(zhǔn)備好腳本。誰(shuí)負(fù)責(zé)、何時(shí)負(fù)責(zé)、負(fù)責(zé)什么。首先要采取什么行動(dòng)，這些人還應(yīng)該有具有適當(dāng)安全級(jí)別權(quán)限的后援。有人可能在度假、不在服務(wù)中等。最好有這些但不需要，而不是相反。

案例研究：這里我們可以回顧一下 Kyivstar 的情況。網(wǎng)絡(luò)防御有一個(gè)黃金三角，包括技術(shù)、流程和人員。如果人員沒(méi)有經(jīng)過(guò)培訓(xùn)，如果不考慮人為因素，任何公司都可能遭到黑客攻擊。

建議：

?制定網(wǎng)絡(luò)安全政策和針對(duì)各種事件的具體行動(dòng)。

?關(guān)注團(tuán)隊(duì)的網(wǎng)絡(luò)衛(wèi)生，提高技術(shù)專家的技能。

?限制對(duì)未使用的端口的訪問(wèn)。

?配置防火墻規(guī)則以僅允許必要的流量。

4.缺乏備份

即使安全性最高，也始終存在因攻擊、硬件故障或管理員錯(cuò)誤而導(dǎo)致數(shù)據(jù)丟失的風(fēng)險(xiǎn)。缺乏備份可能會(huì)帶來(lái)災(zāi)難性的后果。

案例研究： 這正是我們一位客戶所發(fā)生的事情（實(shí)際上，他是在這次事件之后成為客戶的）因此，2021 年，OVH 位于斯特拉德堡的數(shù)據(jù)中心被燒毀。 最有趣的是，客戶仍然考慮備份，盡管他將備份保存在同一數(shù)據(jù)中心的同一臺(tái)服務(wù)器上。

不幸的是，數(shù)據(jù)無(wú)法恢復(fù)，但我們將客戶的整個(gè)基礎(chǔ)設(shè)施分散到不同的地理位置和不同的服務(wù)器上，以執(zhí)行專門(mén)的任務(wù)。 我們?cè)O(shè)置了 RAID 并與其他服務(wù)器同步。 現(xiàn)在，即使發(fā)生火災(zāi)，一切都會(huì)好起來(lái)。

建議：

?設(shè)置定期數(shù)據(jù)備份。

?將備份存儲(chǔ)在單獨(dú)的服務(wù)器或云存儲(chǔ)中。

?檢查備份的完整性并執(zhí)行測(cè)試恢復(fù)。

?檢查備份自動(dòng)化是否按您想要的頻率運(yùn)行

5. 忽視數(shù)據(jù)加密

傳輸敏感數(shù)據(jù)（例如密碼、支付信息）如果不加密的話，很容易成為攻擊者的攻擊目標(biāo)。

例如： 2018 年，英國(guó)航空公司因 50 萬(wàn)客戶數(shù)據(jù)泄露而被罰款 1.83 億英鎊。 攻擊者能夠攔截機(jī)密信息（信用卡號(hào)、姓名、地址），因?yàn)閿?shù)據(jù)是在公司網(wǎng)站上傳輸?shù)模瑳](méi)有進(jìn)行適當(dāng)?shù)募用堋?/p>

建議：

?使用 HTTPS 協(xié)議保護(hù)傳輸中的數(shù)據(jù)。

?加密服務(wù)器上的備份、重要文件和數(shù)據(jù)庫(kù)。

?對(duì)網(wǎng)站使用 SSL/TLS 證書(shū)。

6. 訪問(wèn)權(quán)限配置不當(dāng)

授予用戶或服務(wù)過(guò)多的訪問(wèn)權(quán)限可能會(huì)導(dǎo)致對(duì)關(guān)鍵資源的未經(jīng)授權(quán)的訪問(wèn)。

案例分析： 一位客戶聯(lián)系我們，稱服務(wù)器負(fù)載突然增加。 檢測(cè)到惡意軟件（加密貨幣挖礦程序和遠(yuǎn)程控制程序），并添加了未知人員的 SSH 密鑰。 惡意軟件被刪除后，攻擊者通過(guò) Bash 配置文件中的惡意代碼和易受攻擊的網(wǎng)站模塊重新獲得訪問(wèn)權(quán)限。 修復(fù)這些漏洞后，攻擊者的訪問(wèn)被完全阻止。

建議：

?遵循最小權(quán)限原則（僅授予必要的權(quán)利）。

?不要將所有訪問(wèn)權(quán)限或密鑰集中在個(gè)別員工的賬戶上。

?定期檢查并更新訪問(wèn)權(quán)限。

?對(duì)不同的服務(wù)使用不同的帳戶。

7.缺乏監(jiān)控和記錄

如果沒(méi)有適當(dāng)?shù)谋O(jiān)控和日志記錄，您可能不會(huì)注意到可疑活動(dòng)或?qū)δ?wù)器的攻擊。

案例研究： 一位現(xiàn)有客戶向我們提出了這一非典型請(qǐng)求。 他對(duì)部分團(tuán)隊(duì)成員的誠(chéng)實(shí)度心存疑慮，因此要求我們開(kāi)發(fā)一種解決方案，幫助檢測(cè)任何非典型行為。 監(jiān)控配置在各個(gè) RDP 上，當(dāng)?shù)卿浌ぷ鞣?wù)器時(shí)，會(huì)立即觸發(fā)機(jī)器人通知客戶。 此外，還設(shè)置了禁止安裝任何軟件的禁令。

監(jiān)控有助于發(fā)現(xiàn)一名員工在下班后不斷登錄服務(wù)器。

建議：

?建立監(jiān)控系統(tǒng)來(lái)跟蹤服務(wù)器的狀態(tài)。

?保留事件日志并定期分析異常情況。

?使用自動(dòng)威脅檢測(cè)工具（例如，SIEM 系統(tǒng)）。

8. 全天候支持

是的，很難將其歸咎于錯(cuò)誤，這更像是一種建議。但是，及時(shí)響應(yīng)與所有先前的措施一樣重要。因此，如果已經(jīng)發(fā)生了某些事情，那么如果您的數(shù)據(jù)中心或網(wǎng)絡(luò)托管服務(wù)提供商的支持能夠及時(shí)響應(yīng)，那就太好了。不幸的是，像 Hetzner、OVH 或 AWS 這樣的巨頭根本無(wú)法在 5 分鐘內(nèi)給您答復(fù)。如果您的管理員處于“離線”狀態(tài)，您無(wú)法訪問(wèn)服務(wù)器，那么歡迎加入俱樂(lè)部“您的請(qǐng)求將由負(fù)責(zé)的員工在其工作時(shí)間內(nèi)保管”

案例研究： 這正是我們?yōu)榭蛻籼峁┑姆?wù)。24 /7/365 – 快速、高質(zhì)量的支持。 無(wú)論白天還是晚上，節(jié)假日還是周末，都無(wú)所謂。 我們的客戶可以通過(guò)網(wǎng)站上的實(shí)時(shí)聊天聯(lián)系我們，并在不到一分鐘的時(shí)間內(nèi)得到回復(fù)（！）。 當(dāng)然，這一切都取決于具體情況，解決方案本身可能需要更長(zhǎng)時(shí)間，但如果您被黑客入侵而您自己無(wú)法做任何事情，您的服務(wù)器將在 2 分鐘內(nèi)關(guān)閉，至少?zèng)]有人會(huì)從中獲取重要信息。

建議：

?建立監(jiān)控系統(tǒng)來(lái)跟蹤服務(wù)器的狀態(tài)。

?保留事件日志并定期分析異常情況。

?根據(jù)您的需求選擇托管。并非每個(gè)人都需要市場(chǎng)巨頭。特別是如果您的基礎(chǔ)設(shè)施較小。

結(jié)論。

安全不是一次性任務(wù)，而是一個(gè)持續(xù)的過(guò)程。不要吝嗇，因?yàn)榭赡茉斐傻暮蠊鷥r(jià)可能更高。如果您對(duì)自己的能力有疑問(wèn)，請(qǐng)聯(lián)系專業(yè)人士或使用提供內(nèi)置安全和支持的可靠托管服務(wù)提供商的服務(wù)。