美国FBI IC3的12条预防网络攻击的方法

benbenmin2008

黑客利用微软SQL Server各种漏洞发动网络攻击，其中又以SQL Injection最为常见。为了遏止相关网络攻击再恶化，美国网络犯罪申诉中心提出12点网络攻击预防措施。        美国FBI网络犯罪中心（IC3）日前指出，利用微软SQL Server的漏洞，植入各种后门程序以取得有效使用者存取数据库权限，是目前黑客最常使用的攻击手法之一。对此，FBI IC3提出12种基本的预防之道。
    首先，对于常见SQL Injection或微软SQL Server漏洞，FBI IC3认为，数据库管理人员应该关闭有伤害性的SQL Stored Procedure呼叫，例如最常见的xp_cmdshell可允许存取本地端的程序，就是一种安全性的隐忧。FBI IC3提醒，要关闭这类有害的Stored Procedure，除了关闭呼叫功能，更需移除相关dll檔.
    其次，FBI IC3建议，网站服务器（例如微软的IIS）应该过滤掉过长的网址。IT人员可以找出网络服务所使用的最长网址长度，藉由限制过长网址可避免黑客在网址中隐含恶意网址或参数字符串。再者，对于目前许多动态网页内容安全性的保护，FBI IC3认为网络管理员应该要做到过滤字符串和只传参数，把程序的控制指令替代成字符串，不会对SQL指令造成影响，但又能在浏览器正确显示。
    许多IT人员习惯以最高管理者权限执行安装各种服务，这也意味着一旦这个最高管理者权限被窃，整个服务器和数据库的安全性将岌岌可危。所以，FBI IC3建议不要使用最高权限安装微软的SQL Server和IIS网站服务器，只安装所需的程序，例如AD服务器就不需要安装Microsoft Office，对网络和数据库使用者，只提供最小权限。
    提供密码保护是保护管理者账号的基本作为，但FBI IC3发现，有很多企业IT管理人员经常采用SQL Server预设SA管理者账号和预设空白密码，这些都是安全上的一大隐忧。此外，对于主机登入密码多次输入错误，应暂时封锁并做检查，FBI IC3认为这是对黑客入侵的初次检验。
    FBI IC3认为，所有企业内的服务器都应该禁止直接连网，所有的连网都应该透过代理服务器（Proxy）对外联机，才能够检查联机内容和联机埠。FBI IC3也提醒，对于一些会产生验证密钥（例如PIN码）的HSM（硬件加密模块），应该限制其它指令不可以产生这种加密的PIN码，避免让黑客可以取得足够的样本，藉此反推加密算法以保护加密算法。
    FBI IC3建议，企业IT人员对于数据库的管理往往较为松散，不论是存取数据库的黑白名单，或制定更谨慎的信息安全管理规则，都是让数据库更安全的手法之一。最后，FBI IC3也提醒，企业内IT人员应该要在防火墙定期更新已知的恶意网址或IP地址，检验企业内是否有连结这些恶意网络地址的记录，实时掌握企业内资安动态。
    美国FBI IC3的12条预防网络攻击的方法：
    1. 关闭微软SQL Server有害的StoredProcedure呼叫，并移除相关。dll文件。
    2. 限制过长的网址，降低过长网址隐藏恶意网址或参数字符串。
    3. 以过滤字符串和只传参数方式，确保动态网页内容的安全。
    4. 不要用最高权限安装微软SQL Server和IIS网络服务器。
    5. 对所有SQL数据库的访问者，提供最小的访问权限。
    6. 避免使用SQL Server预设的SA管理员账号和空白密码，实施密码管制。
    7. 主机登入密码多次输入错误时，应该暂时封锁该账号并进行检查。
    8. 需要什么样的服务，只要安装服务所需要的程序即可。
    9. 企业内的服务器都应该通过代理服务器与外界进行联系。
    10. 管理企业内部的数据库访问，设置相关的数据安全访问策略。
    11. 防火墙应该定期 各种已知恶意IP地址和。
    12. 避免HSM等会生成验证密钥的设备。若能以其他程序轻易产生密钥，就会让黑客有机会回推演算方法。

CFAH

cj553

wxx9876

随l缘

昂小

chibiliting

学习了