应用程序安全管理的“八大”主张(二)

日期: 2014-07-03 作者:羽扇纶巾 来源:TechTarget中国

4、阻止Outlook文件附件 许多系统管理员认为他们不能在他们的网络中阻止潜在危险的文件扩展名。他们认为最终用户和管理层会产生反感。但是当管理层听说的统计数据,关于文件阻止的令人信服的商业论证。根据Radicati Group在2010年4月的统计信息,当时每天有2940亿封电子邮件在全球互联网上发送。

相当于每秒280万封电子邮件,和每年90万亿封邮件。其中,90%包含垃圾邮件和病毒。这意味着垃圾邮件和病毒组成包括: 每秒2,520,000封电子邮件每天264,600,000,000封电子邮件每年81,000,000,000,000封电子邮件 即使你有垃圾邮件过滤服务,(也许你会被所有的垃圾……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

4、阻止Outlook文件附件

许多系统管理员认为他们不能在他们的网络中阻止潜在危险的文件扩展名。他们认为最终用户和管理层会产生反感。但是当管理层听说的统计数据,关于文件阻止的令人信服的商业论证。根据Radicati Group在2010年4月的统计信息,当时每天有2940亿封电子邮件在全球互联网上发送。相当于每秒280万封电子邮件,和每年90万亿封邮件。其中,90%包含垃圾邮件和病毒。这意味着垃圾邮件和病毒组成包括:

每秒2,520,000封电子邮件
每天264,600,000,000封电子邮件
每年81,000,000,000,000封电子邮件

即使你有垃圾邮件过滤服务,(也许你会被所有的垃圾邮件所淹没),一些恶意电子邮件将成为漏网之鱼。如果有必要,你可以做出让步,你可以通过允许阻止的文件附件发送到隔离区,对它们的发布进行检查。或者你可以让最专业的用户来选择谁是可以信任的,不要打开不受信任的文件,可以自行决定打开和关闭阻止文件功能。

在今天的环境中电子邮件安全是至关重要的。通过阻止恶意的HTML内容和阻止潜在危险的文件附件, 你已经明显提升了你的组织的安全性。

5、将应用程序安装到非标准目录和端口

许多恶意程序依赖于一个事实,即大多数人把程序安装在默认目录和默认端口。你可以通过把程序安装到非标准目录,并指导它们使用非标准端口来显著减少漏洞风险。许多Unix和Linux漏洞的存在依赖于/ etc目录。通过简单地改变安装文件夹到/etc以外的目录,可以明显降低恶意攻击成功的风险。同样的,不要把Microsoft Office安装到C:Program FilesMicrosoft Office目录中,考虑将程序自定义安装到C:Program FilesMSOffice目录中。考虑将Windows安装到不同的文件夹中,而不是默认的C: Windows目录。任何默认设置的改变,甚至是一个字符,就足以打败许多自动化的攻击工具。

如果你的应用程序打开并使用一个TCP / IP端口,看你是否可以把它连接到除默认端口外的另一个端口。例如,如果你有一个外网的网站,可以考虑告诉你的客户在浏览器中使用以下语法连接到除80端口以外的其他端口:

http://www.domainname.com:X

此处的X是一个新的端口号。例如:

http://www.mydomain.com:801

许多网络攻击只检查端口80上的Web服务器,所以这个变化将防止此类攻击。

6、锁定应用程序

任何环境中最大的风险之一是终端用户安装和运行所有他们想要的软件的能力。有很多工具可用来限制终端用户是否可以在桌面上运行程序。在Windows中,系统管理员可以设置系统策略来禁止安装新应用程序,剥夺了使用者的运行命令,并严格限制桌面。Windows也有一个名为软件限制策略功能,可以让系统管理员指定哪些软件允许在特定的计算机上运行。应用程序可以通过以下方法被定义和允许:信任的数字证书,散列计算,处于互联网安全区域的位置,路径位置和文件类型。

7、确保安全的P2P服务

点对点(P2P)的应用程序,如即时通讯(IM)和音乐共享,很可能在未来仍是强势的攻击目标。这是因为P2P应用程序的安全非常有限,如果有的话,经常在没有获得管理员授权情况下安装在企业环境中。并且,他们的目的是访问终端用户的计算机,这使得窃取文件的工作变得更加容易。因此,P2P应用程序越来越被视为一个滋扰,而不是一个合法的服务,需要进行保护和管理。然而,你可以采取的一些措施来管理P2P应用并尽量减少他们的安全后果。

首先,如果P2P应用在你的企业环境中是不认可的,那么请根除它。从教育的终端用户开始,并与管理层合作,建立使用未经授权软件的处罚条例。然后跟踪程序并删除它们。跟踪它们意味着为尝试在防火墙日志上监控已知的P2P端口,在本地网络里使用IDS设备来嗅探P2P数据包,或者使用P2P审计软件。

其次,确保你的防火墙配置为明确禁止P2P流量。由于P2P软件通常使用80端口作为代理端口,很难通过端口号来单独封杀P2P流量,但也有些事情可以做。如果P2P客户端连接到的服务器有一个特定的IP地址或在一个特定的域,可以在防火墙中阻止目的地。有些防火墙允许使用通配符封锁域名,如* irc*或* kaz*。

最后,如果你的终端用户坚持使用P2P,并且管理层认可,如果可能的话,坚持让他使用一个更安全的P2P应用程序。例如,如果你的终端用户坚持使用AOL的即时通讯客户端,看看管理层是否可以改用AOL的企业即时通讯客户端。它不是免费的,但它的确更安全。有几十个安全的企业即时通讯客户端可供选择,并且均具有更好的安全性。最后,确保桌面防病毒扫描程序检查P2P流量。

8、保障应用程序编码安全

SQL注入和缓冲区溢出攻击只能通过程序员使用安全编码来防御。在互联网搜索引擎中输入任何短语,它将返回关于如何防止这些类型攻击的大量文档。防止SQL注入攻击就如使用双引号,而不是单引号一样简单,。阻止缓冲区溢出攻击需要输入验证。一些免费和商业工具可以用来测试你的应用程序是否存在这些攻击并提供修复建议。

IIS Lockdown工具应该在所有运行IIS系统上执行。它的作用是为不同的WEB服务器角色(例如OWA服务器、公共WEB服务器等等)设计专门的模板。安全模板关闭不必要的功能,删除不需要的文件,并安装URLScan,过滤掉许多常见的,恶意URL的攻击。如果安装对IIS服务器有不利影响,它可以很容易被卸载和恢复原始设置。

请继续阅读应用程序安全管理的“八大”主张(一

作者

羽扇纶巾
羽扇纶巾

自由撰稿人。

相关推荐