中小型企业可以通过保护攻击者最常攻击的端口来保护企业免受部分网络攻击的威胁。在超过13000个网络攻击的目标中,有3个端口非常突出。
情报和防护公司Alert Logic的报告中枚举了针对其客户端4000个网络攻击中的弱点。
攻击最多的TCP端口
该报告指出,最常被攻击的3个端口是22,80和443,对应着SSH(Secure Shell)、HTTP和HTTPS服务。
Alert Logic称这3个端口出现在65%的攻击活动中,这些端口要开放来进行通信,但是要确保是安全的或是明文。
排名第4的是RDP协议,RDP协议是用于机器之间远程通信的。今年以来,RDP协议爆出多个远程代码执行漏洞,CVE-2019-1181, CVE-2019-1182, 和CVE-2019-0708。
网络端口安全应该采取纵深防御的策略,这是安全的基本指导原则。不再使用的端口应当关闭,企业还应在每台主机上安装防火墙来监控和过滤端口流量。定期进行端口扫描和渗透测试是帮助确保安全和找出漏洞的最佳实践。
FTP协议的20和21端口也被标记为高危风险。FTP服务器的应用有打印机、照相机、UPS(不间断电源系统),这些应用大约占了所有FTP服务器的1/3。
Alert Logic建议通过更新和加固设备、软件和依赖这些端口的服务来减少来自这些端口的潜在安全风险。
运行过时的软件
企业安全存在的一大问题就是弱加密和过时的软件,约占Alert Logic通告客户安全问题的66%和75%。
Alert Logic发现扫描的主机中有超过66%运行Windows7系统,而Windows 7系统将在2020年1月14之后不再支持安全更新。另一方面,SMB基础设施却很少使用Windows server 2019。
而且使用2008年最后一次发布正式版,在2014年停止支持的Windows XP系统的主机不计其数。
Alert Logic称在客户的网络中还发现了Windows NT系统(发布时间为1993年)。运行这些系统的风险就是攻击者可以很容易地入侵系统。
而且,在扫描的主机中有超过一半的linux主机运行着过期的kernel,具体来说,2.6版本已经不再支持更新3年了,有65个已知的安全漏洞。
关于使用过时的软件的另外一个例子是Exchange 2000邮件服务器,在检测到的邮件服务器中大约占比1/3。该产品早在2010年7月就不再支持更新。
Alert Logic监测到的最主流的含有SMB的邮件服务器为PostFix,而最主流的邮件服务器Exim排名第2。
Alert Logic 称分析数据来源于2018年11月至2019年4月针对客户的攻击活动。
完整报告下载地址:https://resources.alertlogic.com/c/IR-critical-watch-report