受到網(wǎng)絡(luò )罪犯攻擊的威脅對所有企業(yè)來(lái)說(shuō)都是真實(shí)存在的，無(wú)論大小。預計到 2024 年，數據泄露造成的商業(yè)損失將超過(guò)5萬(wàn)億美元。嚴重的數據泄露不僅會(huì )影響組織的財務(wù)狀況，還會(huì )對企業(yè)聲譽(yù)造成長(cháng)期甚至永久性損害。

數據泄露的最常見(jiàn)原因之一是服務(wù)器安全性薄弱。隨著(zhù)攻擊者設計出越來(lái)越復雜的方法來(lái)攻擊您的服務(wù)器，強大的服務(wù)器安全最佳實(shí)踐對于保護您的業(yè)務(wù)和敏感數據非常重要。在本指南中，我們將討論服務(wù)器安全的概念、服務(wù)器安全最佳實(shí)踐的重要性，以及如何設置完全安全的服務(wù)器。

什么是服務(wù)器安全？

服務(wù)器安全是指用于保護服務(wù)器上的敏感數據、資源和資產(chǎn)的所有流程和工具。服務(wù)器經(jīng)常成為網(wǎng)絡(luò )犯罪分子的目標，因為它們往往保存著(zhù)敏感且有價(jià)值的信息。網(wǎng)絡(luò )犯罪分子總是在尋找利用服務(wù)器安全漏洞來(lái)獲取經(jīng)濟利益和其他原因的機會(huì )。

在大多數 IT 基礎設施中，服務(wù)器是整個(gè)基礎設施的核心。服務(wù)器允許所有用戶(hù)遠程訪(fǎng)問(wèn)相同的資源、功能和信息。當服務(wù)器在攻擊期間受到損害時(shí)，整個(gè)網(wǎng)絡(luò )和/或系統很可能也會(huì )受到損害。

因此，維護服務(wù)器安全顯然很重要。然而，即使是非常小的缺陷，如弱密碼、錯過(guò)/失敗的軟件更新以及其他相對簡(jiǎn)單的人為錯誤，也可能導致服務(wù)器受損并給組織帶來(lái)重大損失。

這就是為什么要確保服務(wù)器安全的有效性，我們必須考慮不同的層次——從識別和管理網(wǎng)絡(luò )中的潛在問(wèn)題，到保護服務(wù)器的操作系統，保護服務(wù)器上托管的任何軟件和應用程序，以及最細粒度的級別，保護托管在服務(wù)器上的敏感和受監管數據。

常見(jiàn)的服務(wù)器安全漏洞

網(wǎng)絡(luò )犯罪分子如何攻擊您的服務(wù)器？以下是黑客和網(wǎng)絡(luò )罪犯經(jīng)常利用的一些常見(jiàn)錯誤和漏洞：

弱密碼

為了猜測弱密碼，黑客可以使用惡意機器人來(lái)執行暴力攻擊或 撞庫攻擊。如果攻擊者獲得管理員憑據，他們就可以訪(fǎng)問(wèn)您的服務(wù)器并造成數據泄露。攻擊者還可能在暗網(wǎng)上出售您的憑據信息。

確保您使用的密碼足夠強，長(cháng)度至少為 10 個(gè)字符，使用小寫(xiě)和大寫(xiě)、符號、數字和空格的組合，并且僅對該帳戶(hù)唯一?？紤]使用 密碼管理器服務(wù)， 以確保您始終使用不會(huì )忘記的強密碼。

補丁管理

重要的是使用補丁管理服務(wù)來(lái)確保代碼中的任何更改在安裝前都經(jīng)過(guò)適當測試并且來(lái)自受信任的來(lái)源。

軟件和操作系統更新失敗或錯過(guò)

沒(méi)有軟件或操作系統是 100% 完美的，負責任的制造商將通過(guò)安全修復和補丁解決其軟件中的安全漏洞。所以，這些更新是有原因的。但是，當軟件制造商發(fā)布補丁說(shuō)明時(shí)，他們也同時(shí)向公眾（包括網(wǎng)絡(luò )犯罪分子）宣布了此漏洞。這就是為什么您應該 始終 在補丁可用后立即更新您的操作系統和軟件。網(wǎng)絡(luò )犯罪分子不斷地利用軟件中的漏洞，因此運行過(guò)時(shí)的軟件版本會(huì )顯著(zhù)增加數據泄露的風(fēng)險。

網(wǎng)絡(luò )端口配置錯誤

服務(wù)器配置不當，尤其是網(wǎng)絡(luò )端口配置不當，很容易被網(wǎng)絡(luò )罪犯利用。根據服務(wù)器安全最佳實(shí)踐配置和優(yōu)化服務(wù)器非常重要。

未使用的帳戶(hù)

黑客經(jīng)常使用舊的和被遺忘的帳戶(hù)（例如，在成功的暴力攻擊之后）獲得對服務(wù)器的訪(fǎng)問(wèn)權限。確保定期清理舊的和過(guò)時(shí)的帳戶(hù)。

人身安全性差

并非所有對服務(wù)器安全的外部威脅本質(zhì)上都是數字威脅。例如，當小偷獲得對您服務(wù)器的物理訪(fǎng)問(wèn)權限時(shí)，它也會(huì )受到損害。安全性差的加密狗密鑰也可能對服務(wù)器的安全性非常危險。

基本服務(wù)器安全準則

正如介紹中提到的，我們應該分層對待服務(wù)器安全。以下是保護 Web 服務(wù)器的基本步驟，我們可以將其用作下一層的基礎：

1. 確保定期更新服務(wù)器的 OS（操作系統）和服務(wù)器上托管的所有應用程序/軟件
2. 配置服務(wù)器的操作系統以滿(mǎn)足服務(wù)器安全最佳實(shí)踐：僅啟用 必要的應用程序和服務(wù)，并禁用所有不必要的應用程序和服務(wù)。
3. 設置所有帳戶(hù)密碼（更改所有默認密碼）并使用足夠強的密碼。正確刪除默認帳戶(hù)。
4. 定期監控與您的服務(wù)器相關(guān)的安全相關(guān)公告（即關(guān)注您的服務(wù)器制造商的博客）
5. 根據托管在服務(wù)器上的數據，采用SSL（Secure Socket Layer）和TLS（Transport Layer Security）進(jìn)行加密和認證。
6. 根據制造商/供應商的最佳實(shí)踐配置服務(wù)器。這可能包括在指定的主機提供商上安裝服務(wù)器軟件，對敏感/機密文件進(jìn)行必要的訪(fǎng)問(wèn)控制，等等。
7. 創(chuàng )建日志文件以供將來(lái)調查和恢復之用。相應地分配特定的日志文件名，并確保您的日志文件不會(huì )填滿(mǎn)硬盤(pán)驅動(dòng)器。配置日志文件以捕獲所有潛在的風(fēng)險活動(dòng)（登錄失敗、請求突然激增、未經(jīng)授權的用戶(hù)訪(fǎng)問(wèn)等）
8. 記錄您對服務(wù)器中托管的系統和應用程序所做的所有更改，并在啟動(dòng)之前測試所有建議的更改。

服務(wù)器安全檢查表

現在我們已經(jīng)討論了良好的服務(wù)器安全應該是什么樣子的基礎知識，讓我們分享我們的服務(wù)器安全清單以確保您涵蓋所有內容：

第 1 步：識別并記錄您的服務(wù)器詳細信息

第一步也是最關(guān)鍵的一步是識別并記下服務(wù)器的所有重要細節，例如它的 MAC 地址、標識號、型號名稱(chēng)等。這很重要，這樣您才能獲得正確的手冊，檢查與第三方軟件的兼容性等。

第 2 步：確保人身保護

如前所述，物理漏洞還可能導致嚴重的數據泄露和對服務(wù)器的其他威脅。確保您的服務(wù)器在物理上得到妥善保護，以防止未經(jīng)授權的訪(fǎng)問(wèn)。例如，限制對服務(wù)器所在房間的訪(fǎng)問(wèn)，并只允許盡可能少的人進(jìn)入該區域。確保此房間的鑰匙始終安全存放。

第 3 步：設置事件日志

通過(guò)配置事件日志為訪(fǎng)問(wèn)服務(wù)器的每個(gè)人啟用可追溯性和責任制。定期監控這些日志并注意任何可疑活動(dòng)，包括但不限于可疑帳戶(hù)登錄、系統配置更改和權限更改。理想情況下，您的事件日志應該備份在單獨的服務(wù)器上。

第 4 步：定期更新操作系統和軟件

設置每周（如果可能，每天）更新操作系統和服務(wù)器上托管的任何軟件或應用程序的計劃。您應該在更新可用時(shí)立即實(shí)施更新。

第 5 步：刪除不需要的軟件

定期刪除舊的和未使用的軟件、應用程序和操作系統組件。禁用任何不必要的服務(wù)。被遺忘的未使用的應用程序可能只是黑客入侵您的服務(wù)器的另一個(gè)途徑。

第 6 步：監控硬件性能

硬件漏洞也可能是致命的。確保定期維護您的硬件并執行例行檢查以識別可能需要更換的損壞組件。

第 7 步：保持真實(shí)性和完整性

根據需要實(shí)施身份驗證協(xié)議，例如，對所有系統管理員強制使用密碼管理器和雙因素身份驗證 (2FA)。刪除不再使用的舊管理員帳戶(hù)。

第?8 步：定期備份

使用 3-2-1 備份規則自動(dòng)執行常規服務(wù)器備份（3 個(gè)備份，2 個(gè)與服務(wù)器位于同一站點(diǎn)但在不同的設備/介質(zhì)上，1 個(gè)異地備份副本）。定期檢查您的備份是否按預期運行。根據需要測試備份恢復映像。

如何保護您的服務(wù)器免受外部攻擊：最佳實(shí)踐

在本節中，我們將分享一些實(shí)用的服務(wù)器安全最佳實(shí)踐，您可以遵循這些最佳實(shí)踐來(lái)獲得有效的保護：

1.只使用安全連接

建議使用 SSH (Secure Shell) 與您的服務(wù)器建立安全連接。SSH 實(shí)際上可以為您的服務(wù)器取代基于密碼的身份驗證，并且由于密碼總是 容易 受到暴力攻擊，因此 SSH 連接更適合保護您的服務(wù)器。

SSH 使用一對帶有公鑰和私鑰的加密密鑰。公鑰可以與其他人共享（因此得名），但私鑰必須由服務(wù)器管理員安全存儲。SSH 將有效地加密所有交換的數據。

另一種保護連接的方法是使用代理服務(wù)器。由于使用代理服務(wù)器，您的用戶(hù)隱藏在代理的掩碼 IP 地址后面，因此攻擊者更難將易受攻擊的用戶(hù)設備作為目標來(lái)獲得訪(fǎng)問(wèn)權限。

2.安裝機器人緩解解決方案

許多針對服務(wù)器的攻擊都可以通過(guò)使用惡意機器人程序來(lái)實(shí)現，例如用于發(fā)起暴力破解、憑證填充和第 7 層 DoS 攻擊等。因此，建議使用適當的機器人緩解解決方案來(lái)保護您的服務(wù)器。

機器人緩解軟件可以使用三種不同的方法來(lái)檢測和管理機器人活動(dòng)：

• 基于規則：在這種方法中，機器人緩解解決方案應用規則來(lái)阻止來(lái)自已知機器人、特定 IP 地址或范圍等的惡意流量。
• 基于挑戰：該解決方案使用驗證碼等測試來(lái)挑戰用戶(hù)。如果它是一個(gè)合法的人類(lèi)用戶(hù)，這個(gè)挑戰應該很容易解決，而理想的自動(dòng)化程序（機器人）將無(wú)法解決它。
• 基于人工智能：在這種方法中，機器人程序管理解決方案分析大量信號，從操作系統版本到鼠標移動(dòng)，以檢測試圖模仿人類(lèi)用戶(hù)行為的機器人程序。

由于當今惡意機器人的復雜性，建議使用能夠進(jìn)行基于行為的檢測的機器人管理解決方案。 例如， DataDome是一種經(jīng)濟實(shí)惠的機器人程序管理解決方案，它使用人工智能和機器學(xué)習技術(shù)來(lái)分析個(gè)人用戶(hù)行為和全球流量模式，并可以實(shí)時(shí)緩解惡意機器人程序活動(dòng)。

3.強制使用VPN

建議使用 VPN 或實(shí)際專(zhuān)用網(wǎng)絡(luò )來(lái)維護進(jìn)出服務(wù)器的安全數據通信。在專(zhuān)用網(wǎng)絡(luò )中，用戶(hù)將使用私人的、無(wú)法追蹤的 IP 地址，因此黑客更難識別用戶(hù)并找到漏洞。此外，當通過(guò) VPN 連接到服務(wù)器時(shí)，這會(huì )有效地加密進(jìn)出服務(wù)器的數據，因此黑客無(wú)法在傳輸過(guò)程中竊取數據。

4.根據服務(wù)器安全最佳實(shí)踐配置服務(wù)器操作系統

確保您的服務(wù)器操作系統配置正確：

• 更改默認管理員密碼，包括服務(wù)器上托管的第三方應用程序
• 僅將用戶(hù)身份驗證/權限設置為用戶(hù)執行其特定工作所需的最低限度
• 定期刪除未使用和不需要的帳戶(hù)
• 教育您的團隊并分享有關(guān)服務(wù)器安全最佳實(shí)踐的綜合指南，尤其是關(guān)于密碼的指南
• 禁用任何未使用/不必要的應用程序和服務(wù)

5.定期更新您的操作系統和軟件

正如上面反復討論的那樣，保護服務(wù)器安全的一個(gè)非常重要的方面是確保您 始終 運行最新版本的操作系統和服務(wù)器上托管的所有應用程序。更新一可用就應該安裝，尤其是當補丁說(shuō)明提到“安全修復”或類(lèi)似消息時(shí)。如果要保持連續性，您可以設置自動(dòng)更新或設置定期執行更新的時(shí)間表。

結論

雖然網(wǎng)絡(luò )犯罪分子在尋找破壞您的服務(wù)器的方法方面確實(shí)變得越來(lái)越老練，但通過(guò)實(shí)施上述服務(wù)器安全最佳實(shí)踐，我們可以確保我們的服務(wù)器得到適當保護。分層處理服務(wù)器安全非常重要：服務(wù)器的物理安全、服務(wù)器的操作系統、安裝在服務(wù)器中的第三方軟件以及連接到服務(wù)器的網(wǎng)絡(luò )。最后但并非最不重要的一點(diǎn)是，對用戶(hù)進(jìn)行正確的服務(wù)器安全最佳實(shí)踐教育以避免人為錯誤也很重要。