存储系统成IT基础设施安全薄弱环节

根据网络安全公司Continuity Software的调研报告，IT基础设施各层级中，存储系统的安全状况明显弱于计算和网络设备这两层。

通过分析来自400多台企业存储设备的数据，研究揭示了与15个漏洞相关的6300个不同安全问题，平均而言，这15个漏洞几乎每台企业安全设备都会遇到。调研涉及的设备来自Brocade、思科、戴尔易安信、IBM、日立数据系统和NetApp等供应商。

Continuity创始人兼首席执行官Gil Hecht在声明中称：“无论是从安全角度还是业务角度来看，在计算、网络和存储这三类主要IT基础设施中，存储系统具有的价值通常是最高的。存储设备的安全漏洞和错误配置呈现出巨大的威胁，尤其是在近几年来勒索软件攻击频频将企业玩弄于股掌之间的情况下。然而，根据我们的分析，大多数企业存储系统的安全状况都弱到令人震惊的程度。”

企业需要立即采取行动，更好地保护自身存储和备份系统，从而确保数据不受勒索软件和其他网络攻击的侵袭。

此项研究检测出的15个主要漏洞中，有三个漏洞的级别被定为极其严重，会带来非常高的安全风险。报告还列出了企业团队未能充分遵守的170条安全原则。

最大安全风险包括协议漏洞

报告中提到的三大漏洞是脆弱的协议或协议设置、未解决的CVE（通用漏洞与暴露）漏洞，以及访问权限问题。其他重大漏洞则涉及不安全的用户管理与身份验证，以及日志不完善。

报告指出，脆弱协议/协议设置常与未能禁用或允许使用SMB（服务器消息块）v1和NF（网络文件系统） v3等老旧版本协议相关。脆弱协议/协议设置还源自使用TLS（传输层安全）1.0和1.1、SSL（安全套接字层）2.0与3.0等安全专家不再建议使用的协议套件。

报告还揭示，企业使用的通用漏洞管理工具不检测很多存储CVE，而是专注检测服务器操作系统、传统网络设备，以及软件产品。这就导致大量存储设备（接近20%）暴露在风险之中。研究覆盖的调研环境中共检测出70多个CVE。

重大访问权限问题包括大量设备受到不当配置的影响，例如访问共享存储不受限制、采用不推荐的分区和屏蔽配置、能从外部网络访问存储等。

不安全的用户管理与身份验证指的是使用不推荐的本地用户、采用非个人管理员账户、不强制执行会话管理限制，以及职责/角色分离不当。

存储技术中发现的漏洞

Continuity收集了北美和EMEA（欧洲、中东和非洲）20多个客户环境的匿名输入，涵盖银行与金融服务、交通运输、医疗保健、电信和其他行业。块、对象和IP存储系统、SAN/NAS、存储管理服务器、存储设备、虚拟SAN、存储网络交换机、数据保护设备、存储虚拟化系统和其他存储设备的配置都囊括在分析范围之列。

研究中使用了Continuity Software的自动风险检测引擎来衡量存储层面上的多个错误配置和漏洞，这些错误配置和漏洞可能对企业数据构成安全威胁。

Continuity首席技术官Doron Pinhas称：“数据科学家参与了此项研究，但我们基本上用的是收集到的原始信息。我们用自有专属数据映射工具处理数据。因此，在IT管理的方方面面（不仅仅是围绕数据和存储），企业面临的问题之一是获得可见性：找出自身所有资产，弄清楚它们是如何配置的，捕获相关配置数据，并持续跟踪。”

Pinhas表示，Continuity使用大型知识库来描述可能的漏洞，还采用自有技术来审查收集到的数据并找出存在哪些漏洞，然后再将这些信息输入数据库并用各种指标进行分析。

此项研究还发现了一些其他不那么严重的问题，例如勒索软件防护功能的不当使用、未登记的不安全API/CLI，以及存储软件供应链管理中的漏洞和监管缺失。

报告还指出，地理位置与存储安全成熟度之间的相关性较弱，这意味着所测得威胁的频率和严重性未随位置的变化而变化。

有多少公司能够保护自身

报告提出的一些建议包括：评估现有的内部安全制度以充分纳入存储基础设施，确定存储安全方面可能存在的知识空白，并建立/改进安全计划来填补这些空白。报告还鼓励使用自动化来持续评估存储基础设施的安全状态。

Pinhas表示：“我们建议客户尽快映射数据分类。首席信息安全官承认他们在这方面不擅长。我觉得企业应该真正建立自身安全基线的清晰视图：‘我们都有哪些资产？’了解这些资产会遭遇怎样的攻击。要对攻击面有相当清晰的认知。而好消息就是，我们拥有此类资源和技术。”

在上个月发布的类似报告中，市场研究公司Gartner写道，大多数勒索软件攻击针对网络共享中的非结构化数据集，因而集中文件存储解决方案成为了极具吸引力的大规模数据加密和/或数据渗漏目标。

Continuity Software《存储安全状况》报告下载地址：

https://www.continuitysoftware.com/resources/the-state-of-storage-security-report/

Gartner《创新洞见：网络存储解决方案保护非结构化数据免遭勒索软件侵害》：

https://www.gartner.com/doc/reprints?__hstc=188485175.9fcd9fb4d178632301d273e9799c76ba.1629221855251.1629221855251.1635859357557.2&__hssc=188485175.1.1635859357557&__hsfp=780518289&id=1-27PD98KY&ct=211021&st=sb&submissionGuid=30032472-49e7-4678-8090-b35a9396248b