常见的安全错误配置及其后果

在网络安全世界里，错误的配置可能会产生各种各样的可利用漏洞，本文就让我们来看看几个常见的安全错误配置。

首先是开发权限，当某些东西投入使用时它不会被改变。例如，AWS S3 bucket在开发过程中经常被分配允许访问权限。如果在发布代码之前没有仔细地执行安全检查，就会出现问题，无论是针对平台的初始发布还是针对更新，这样每个人都能从中读取和写入。这种特殊的错误配置是危险的，由于该应用程序正在运行并且该站点正在为用户加载，所以没有明显的迹象表明有什么地方出错了，直到一个寻找打开的bucket的攻击者偶然利用了它。

在将所有应用程序和站点推送到实际环境之前(包括初始启动和更新周期)，仔细检查它们的安全性对于捕获此类错误配置至关重要。应该检查每个bucket，以确保其上设置的允许平台工作的权限最少。

在非云计算方面，最常见的配置错误之一是没有执行组策略、反恶意软件和其他集中式管理规则和更新。很少直接连接到公司网络的笔记本电脑可能要花费数月的时间才能获得这些重要的更改，因此随着安全形势的变化，这些笔记本电脑将无法进行任何防御。

一个常见的例子是笔记本电脑已经很长时间没有上网了，如果此类笔记本电脑不在VPN或其他安全连接上，则可能不允许其接收Active Directory组策略更新，这将导致其GPO随着时间的推移而过时。这意味着在此类笔记本电脑上可能会执行禁止的操作或操作，而当该设备最终以再次访问受保护资源的方式连接时，受保护的网络就会暴露在外。

解决此漏洞的方法是确保有权访问组织资源的设备必须接受组织管理更改，诸如AzureAD和去中心化反恶意软件平台之类的工具可以允许远程设备安全地接收更新。对于这些工具来说，HTTPS连接通常足以推动更新并执行策略更改。

使用分布式设备管理可以确保它们与安全策略保持一致，即使是那些只用于访问云可用资源(如Office365)、不定期直接连接到组织的受保护网络的设备。

许多此类工具，尤其是诸如反恶意软件系统之类的工具，甚至都不要求设备由移动设备管理平台进行管理。这意味着，即使该设备不是组织“拥有”的，它仍可以保持最新状态并受到保护。

当我们谈到远程工作这个话题时，还有另一种经常发生的错误配置。VPN系统允许远程工作人员安全访问公司数据，但是大量VPN客户端默认使用不安全的现成配置。分割隧道VPN配置仅在访问受保护的系统时才通过安全网络路由用户流量，而将所有其他流量直接发送到互联网。这意味着，当用户试图访问文件服务器时，他们通过VPN进行访问，而对Salesforce的调用则通过不受保护的互联网进行。虽然这有利于性能，但它带来的问题是，用户的设备可能会在外部世界和内部网络之间建立一座桥梁。通过一点社交工程，威胁执行者可以创建到用户设备的持久连接，然后利用该用户的VPN隧道进入受保护的网络。

绝大多数VPN客户端支持独立通道配置，这意味着在VPN处于活动状态时，所有流量都将通过组织网络进行路由，包括发往外部源的流量。这也意味着，与来自直接连接到受保护网络的用户的流量一样，所有流量也将受到相同的控制。

虽然配置错误很容易发生，但它们对组织的安全构成了明显的威胁。在工具投入使用或更新时，花时间检查安全性可以很容易捕获此类错误配置。

此外，公司可以部署持续的安全验证工具，以与攻击者几乎相同的方式不断挑战和评估运行环境，以迅速发现错误配置。

将这两种评审和持续安全验证方法结合起来会给安全检查增加一些复杂性，但是值得花时间。