当我们探讨“两高一弱”时,其实国际上有关弱口令、默认口令问题一直争论不断。随着身份认证技术的不断完善,以及双因素的要求的强制性,弱口令、默认口令较前几年其实已经有了大的改观,但是依然是一个大难题。这和人人都具备偷懒的习惯,具备惰性有关。但是,安全就是一个不断克服不良习惯、克服惰性的过程。
错误配置仍然是一个常见的危害点——而路由器是其中的佼佼者。
根据 最近的调查数据,86% 的受访者从未更改过路由器管理员密码,52% 的受访者从未调整过任何出厂设置。这为攻击者提供了入侵企业网络的绝佳机会。既然可以使用“管理员”和“密码”作为凭据访问所谓的安全设备,为什么还要花时间和精力创建钓鱼电子邮件并窃取员工数据呢?
现在是时候对路由器进行现实检验了。
路由器风险不断上升
路由器允许多台设备使用同一个互联网连接。它们通过引导流量来实现这一目标——内部设备沿着最有效的路径路由到面向外部的服务,传入数据被发送到适当的端点。
如果攻击者成功攻陷路由器,他们就能控制出入网络的信息。这会带来以下风险:
将用户重定向至恶意网页
进行中间人 (MiTM) 攻击以窃取数据
作为大型僵尸网络的一部分发起DDoS 攻击
使用物联网设备监控用户行为
路由器攻击的性质也使其难以被发现。这是因为网络犯罪分子不会强行进入路由器或绕道逃避安全防御。相反,他们利用被忽视的弱点直接访问路由器,这意味着他们不会发出警告。
假设路由器的登录名为“admin”,没有密码。只需简单猜测几下,攻击者便可进入路由器设置,而不会触发安全响应,因为他们并未破坏网络服务或破坏应用程序。相反,他们以与员工和 IT 团队相同的方式访问路由器。
探索防守脱节
企业认识到了强大的网络安全的必要性。根据Gartner 的数据,到 2025 年,信息安全支出将增长 15%,达到 2120 亿美元。常见的投资领域包括端点保护平台 (EPP)、端点检测和响应 (EDR)以及生成式人工智能 (gen AI)的集成。然而,路由器经常被忽视。
例如,89% 的受访者从未更新过路由器固件。同样比例的受访者从未更改过默认网络名称,72% 的受访者从未更改过 Wi-Fi 密码。
这是有问题的。最近的一份报告发现,流行的 OT/IoT 路由器固件映像已经过时,并且包含可利用的 N-day 漏洞。该报告发现,开源组件平均已有五年以上的历史,并且比最新版本晚了四年。
与此同时,据GovTech指出,对匹兹堡地区水务局的攻击之所以成功,部分原因是其网络的默认密码是“1111”。其他常见密码包括“password”和“123456”;在某些情况下,路由器没有密码。攻击者只需要登录凭证(通常是“admin”),就可以完全访问路由器功能。
更能说明问题的是,路由器的安全性越来越差,而不是越来越好。想想看,在 2022 年,48% 的受访者表示他们没有调整路由器设置,16% 的受访者从未更改过管理员密码。在 2024 年,超过 50% 的路由器仍在出厂设置下运行,只有 14% 的路由器更改了密码。
通过在安全工具上投入更多资金但不改变默认配置或更新路由器固件,企业正在关上大门却敞开着窗户。
尽量减少配置错误
那么,公司如何最大限度地降低配置错误的风险呢?
首先从最基础的做起:定期更改密码、更新固件并确保路由器未保留出厂设置。简单吗?当然。常见吗?调查数据显示,情况并非如此。
在某种程度上,路由器风险与安全现实之间的脱节源于网络攻击的庞大数量。例如,2023 年有94% 的公司遭受了网络钓鱼攻击,而根据IBM 2024 年数据泄露成本报告,数据泄露的平均成本现在为 488 万美元,比 2023 年增长 10%,是有史以来最高的。这让网络安全团队处于防御状态,并对常见的攻击媒介保持高度警惕,例如网络钓鱼、短信钓鱼和未经审查或批准的“影子 IT ”应用程序的使用。
因此,路由器可能会漏网。解决此问题的第一步是制定定期更新计划。每四到六个月安排一次路由器检查 — 将其放在共享日历中,并确保所有安全人员都知道这将会发生。当指定日期到来时,尽可能更新固件并更改登录名和密码详细信息。还值得制定每周计划来检查路由器流量,以查找任何异常行为或意外登录请求。
加强网络安全
虽然基本的网络卫生有助于降低路由器攻击的风险,但加强安全性需要更深入的方法。
第一步是找到并保护网络上的每个路由器。鉴于企业网络日益复杂的性质,实现此目标的最简单方法是使用自动化。IBM SevOne 自动化网络可观测性等解决方案为 IT 团队提供了预构建的工作流模板,以识别连接的设备、收集性能数据并做出数据驱动的决策。
公司还需要考虑当路由器被入侵时会发生什么。尽管安全团队尽了最大努力,但端点数量的不断增加意味着攻击者找到不受保护的路由器或绕过现有防御措施只是时间问题。
有效的响应需要有效的事件管理。IBM Instana等解决方案提供全栈可视性、一秒粒度和三秒通知,在团队需要时为其提供所需的信息,以降低安全风险。
底线是什么?无法监控和更新路由器设置可能会打开妥协之门。要解决这个问题,团队需要对路由器进行现实检查。通过将安全卫生最佳实践与智能自动化解决方案相结合,企业可以将未经授权的用户留在他们应该呆的地方:受保护的网络之外。
路由器攻击风险的不断上升,加上不合理的期望不断增加,给安全团队带来了复杂的挑战。解决方案是什么?不合理的可观察性。
— 欢迎关注 往期回顾 —
>>>网络安全等级保护<<<
>>>关键信息基础设施安全保护<<<
>>>数据安全系列<<<
因侵犯公民个人信息罪 深圳一人被判一年三个月 售卖他人求职简历
公安部网安局:河南开展整治网络谣言专项行动 查处造谣传谣3000余人
一公司高管为泄愤攻击智慧停车收费系统,致上千家停车场无法自动抬杆
上海4人被判刑:5元掌握明星偶像行程?贩卖明星信息4人被判刑!
假期内,网络主播直播约架?郑州警方迅速控制,刑拘十人!网络空间不是法外之地!
网络水军团灭记:“转评赞”狂刷单 上百人“网络水军”团伙落网
北京多家公司因不履行网络安全保护义务被处罚!“两高一弱”仍然是安全隐患重点
>>>其他<<<
网络安全知识:什么是CIA三要素 (机密性、完整性、可用性)?
网络安全知识:什么是基于域的消息认证、报告和一致性 (DMARC)?
