FBI防禦網路攻擊的項建議
首先,對於常見sql injection或微軟SQL Server漏洞,FBI IC3認為,資料庫管理人員應該關閉有傷害性的SQL Stored Procedure呼叫,例如最常見的xp_cmdshell可允許存取本地的程式,就是一種安全性的隱憂。FBI IC3提醒,要關閉這類有害的Stored Procedure,除了關閉呼叫功能,更需移除相關dll檔案。
其次,FBI IC3建議,網站伺服器(例如微軟的IIS)應該過濾掉過長的網址。IT人員可以找出網路服務所使用的最長網址長度,通過限制過長網址,可避免黑客在網址中隱含惡意網址或參數字元串。再者,對於目前許多動態網頁內容安全性的保護,FBI IC3認為,網路管理員應該要做到過濾字元串和只傳參數,把程式的控制指令替代成字元串,不會對SQL指令造成影響,但又能在瀏覽器正確顯示。
許多IT人員習慣以最高管理者許可權執行安裝各種服務,這也意味著,一旦這個最高管理者許可權被竊,整個伺服器和資料庫的安全性將岌岌可危。所以,FBI IC3建議,不要使用最高許可權安裝微軟的SQL Server和IIS網站伺服器,只安裝所需的程式,例如AD伺服器就不需要安裝Microsoft Office,對網路和資料庫使用者,只提供最小許可權。
提供密碼保護,是保護管理者賬號的基本作為。但FBI IC3發現,有很多企業IT管理人員經常採用SQL Server預設SA管理者賬號和預設空白密碼,這些都是安全上的一大隱憂。此外,對於主機登入密碼多次輸入錯誤,應暫時封鎖並做檢查,FBI IC3認為這是對黑客入侵的初次檢驗。
FBI IC3認為,所有企業內的伺服器都應該禁止直接連網,所有的連網都應該透過代理伺服器(Proxy)對外在線上,才能夠檢查在線上內容和在線上連線埠。FBI IC3也提醒,對於一些會產生驗證金鑰(例如PIN碼)的HSM(硬體加密模組),應該限制其它指令不可以產生這種加密的PIN碼,避免讓黑客可以取得足夠的樣本,由此反推加密算法以保護加密算法。
FBI IC3建議,企業IT人員對於資料庫的管理往往較為鬆散,不論是存取資料庫的黑白名單,或制定更謹慎的安全管理規則,都是讓資料庫更安全的手法之一。最後,FBI IC3也提醒,企業內IT人員應該要在防火牆定期更新已知的惡意網址或IP位址,檢驗企業內是否有連結這些惡意網路地址的記錄,實時掌握企業內資安動態。