6大SSH風(fēng)險以及定期評估如何降低風(fēng)險

在全球疫情爆發(fā)后，安全團隊都在努力保持網(wǎng)絡(luò )安全，現在已經(jīng)是第二年。隨著(zhù)員工從辦公室轉移到家中，企業(yè)部署了各種遠程訪(fǎng)問(wèn)功能，并培訓員工如何安全地使用它們。

SSH是遠程訪(fǎng)問(wèn)和管理的事實(shí)標準，它是所有這些遠程努力的核心。SSH由Tatu Yl?nen于199年創(chuàng )建，它為用戶(hù)和系統管理員提供了安全的方式，以通過(guò)不安全網(wǎng)絡(luò )登錄另一臺計算機，以管理網(wǎng)絡(luò )基礎設施、執行命令以及訪(fǎng)問(wèn)資源和應用程序。

SSH提供強大的加密，并且比登錄協(xié)議（例如Telnet）或文件傳輸方法（例如 FTP）安全得多。它使用公鑰密碼術(shù)來(lái)驗證SSH服務(wù)器的身份，并依靠強加密（例如高級加密標準）和安全散列算法（例如 Secure Hash Algorithm 2）來(lái)保護通信，并確保任何交換數據的隱私和完整性.

SSH的起源及其主要風(fēng)險

但是，由于可通過(guò)公共IP地址訪(fǎng)問(wèn)大約2000萬(wàn)個(gè)SSH服務(wù)，它顯然是黑客的目標。因此，SSH風(fēng)險正在增加。InterPlanetary Storm惡意軟件和加密貨幣挖礦團伙Golang和Lemon Duck都在利用SSH 漏洞，而復雜的FritzFrog點(diǎn)對點(diǎn)僵尸網(wǎng)絡(luò )已成功強行進(jìn)入500多個(gè)SSH服務(wù)器。這些還只是企業(yè)面臨的持續攻擊中的小部分。

盡管該協(xié)議本質(zhì)上是安全的，但用于保護遠程連接的身份驗證機制、客戶(hù)端-服務(wù)器配置和機器身份（SSH 密鑰）很容易被濫用。

排名前六的 SSH 風(fēng)險如下：

• 密碼身份驗證
• 未跟蹤和未托管的密鑰
• 被泄漏的私鑰
• 未打補丁的SSH軟件
• 易受攻擊的SSH配置
• 影子SSH服務(wù)器

SSH允許基于密碼或公鑰的身份驗證。由于密碼容易受到暴力破解攻擊，因此應始終選擇基于密鑰的身份驗證。也就是說(shuō)，強大的密鑰管理是必不可少的。否則，私鑰可能會(huì )被泄露，并使攻擊者能夠對私鑰受信任的服務(wù)器帳戶(hù)進(jìn)行身份驗證。弱密鑰、粗心的用戶(hù)、未經(jīng)授權的密鑰以及系統和帳戶(hù)之間未跟蹤的信任關(guān)系都會(huì )增加未經(jīng)授權訪(fǎng)問(wèn)的風(fēng)險。更重要的是，如果SSH服務(wù)器沒(méi)有打補丁，并且企業(yè)沒(méi)有定期檢查它們的配置設置，包括SSL/TLS 選項，黑客就會(huì )找到一種方法來(lái)破壞它們；企業(yè)不知道的SSH服務(wù)器特別容易受到攻擊。

如何控制SSH風(fēng)險

為確保SSH不會(huì )將企業(yè)的網(wǎng)絡(luò )和數據置于風(fēng)險之中，安全團隊應執行SSH風(fēng)險評估。這涉及掃描SSH服務(wù)器，并確保首先將它們作為合理的服務(wù)登記到資產(chǎn)登記冊中，然后確保正確配置。然后應該盤(pán)點(diǎn)SSH密鑰，并驗證它們之間的信任關(guān)系。即使對于相對較小的企業(yè)，這也可能是一項非常具有挑戰性的任務(wù)。安全供應商Venafi的一項調查發(fā)現，SSH密鑰管理存在嚴重差距，68%的CIO表示，隨著(zhù)企業(yè)遷移到云原生環(huán)境，其中幾乎所有事情都使用SSH密鑰，管理SSH只會(huì )變得更加困難。

值得慶幸的是，現有工具和服務(wù)可幫助企業(yè)在每個(gè)密鑰的整個(gè)生命周期中進(jìn)行風(fēng)險評估并實(shí)施密鑰管理最佳做法。這包括來(lái)自SSH Communications Security、Venafi、Userify、Keyfactor、Scout Suite和CloudSploit等公司的產(chǎn)品，這些產(chǎn)品提供一系列功能，從測試 SSH 服務(wù)器之間的配置弱點(diǎn)到查明云基礎設施帳戶(hù)中的潛在安全風(fēng)險。

與所有安全任務(wù)一樣，SSH風(fēng)險評估并非一次性任務(wù)，必須定期進(jìn)行掃描。用戶(hù)和管理員可以更改某些配置，例如端口轉發(fā)和授權密鑰文件的位置，而他們其實(shí)并沒(méi)有或了解安全隱患，從而使這些系統暴露于更廣泛的攻擊中。

身份是新的防線(xiàn)，因為傳統的網(wǎng)絡(luò )邊界幾乎消失。保持遠程服務(wù)安全比以往任何時(shí)候都更重要，SSH可以保護對關(guān)鍵任務(wù)系統的特權訪(fǎng)問(wèn)。但企業(yè)必須有效地管理SSH風(fēng)險。否則，這個(gè)協(xié)議可能會(huì )成為安全責任，而不是資產(chǎn)。