[调研]网络安全的大敌：配置错误

8月10日，网络安全与合规公司Titania发布调研报告称，网络错误配置可致企业平均损失9%的年收入。Titania广泛调研了政府和行业垂直领域的160名高级网络安全决策者，除惊人的平均损失数额外，调研结果还显示，由于对联网设备的审计不频繁，可令企业面临网络攻击威胁的错误配置可能会在网络上留存数月或数年。 

“网络每天都在变——通常是按计划变动，但这会造成配置逐渐改变。”Titania首席执行官Phil Lewis表示，“由于防火墙、路由器和交换机是所有网络的安全关键，企业应定期（最好是每天）检查自身所有设备是否存在可导致重大安全风险的错误配置，无论这些配置是意外形成还是故意为之。”

“只有4%的企业通过审核交换和路由设备，以及防火墙，来评估其所有网络设备。这一事实本身就存在问题，也可能是由于缺乏精确自动化能力造成的。”他补充道。

难以排序网络设备风险缓解操作

这项研究还表明，企业在按优先级别缓解网络设备所致风险方面遇到了困难。70%的受访者称难以根据风险等级排定修复操作的优先次序。他们还认为不精确的自动化是满足安全和合规要求的最大挑战。

“许多企业目前赖以自动化漏洞检测的工具未能使日常网络安全检查过程更加高效。”Lewis称，“通常只是抽样检测。这最终使网络暴露在配置变动所引起的未检出潜在重大风险之下。”

路由器设置常存在错误

企业可能不愿意妄动网络错误配置。“为了修复威胁而更改网络配置很容易‘破坏’运行正常的Web应用和服务。”漏洞修复公司Vicarius联合创始人兼首席执行官Michael Assraf解释道，“网络设备通常运行的是老旧的精简版Linux，除非硬件供应商发布升级，否则根本不会收到通用内核更新。。做快照和从错误配置恢复也是手动完成，而且需要具备特定的专业知识。”

陈旧的网络架构依赖防火墙来保护网络设备免遭入侵，但也给企业引入了风险。“管理员的很多操作都可能错误配置路由器，导致意外绕过防火墙。”网络安全技术公司WatchGuard Technologies首席安全官Corey Nachreiner表示，“我见过有管理员用路由器的多个接口无意中将第二个接口直接连接到他们的网络，绕过了防火墙。”

“有些交换机还具有备用远程管理通道，这些通道可能位于防火墙和网关路由器之外。”Nachreiner继续说道，“因此，确保这些功能不会被错误配置也很重要，可以避免造成内部网络交换机暴露于公网 "

交换机和路由器常被忽视

报告还发现，路由器和交换机在很大程度上被忽视了。大多数企业（96%）重视防火墙的配置和审核，但只有4%的企业会评估交换机、路由器，以及防火墙。“商用路由器和网络设备采用稳健的安全协议，这些协议声名远播。”IT管理服务提供商MainSpring首席安全官Ray Steen表示，“网络管理员信任这种安全，但给含有脆弱代码的产品配上强大的安全协议，也不过是用三英寸厚的钢门保护个纸板箱而已。网络攻击者直接破了那个纸箱就行。”

“我认为公众更加关注个人计算和服务器，因为这些很容易保护。”不可代理设备风险管理平台生产商DeviceTotal的创始人兼首席执行官Carmit Yadin补充道，“个人计算和服务器都很直观，而物联网和网络设备是黑盒，客户买来直接接入网络就行。因为无需安装客户端或代理，也就没那么直观。”