看到一条新闻:鉴于小型家用路由器(SOHO 路由器)频繁被黑客劫持后用作发起攻击的跳板,美国政府机构:网络安全与基础设施安全局(Cybersecurity & Infrastructure Security Agency,缩写CISA)公开向 SOHO 路由器设备生产商发出 Secure by Design 即以设计促安全的要求。
作为 SOHO 路由器用户,可以对照去做好自己的安全措施。
笔者:国际认证信息系统审计师、软考系统分析师
SOHO 路由器是典型的软硬件结合的产品,而且大多数廉价产品都直接用路由器内的 CPU 计算能力通过软件完成包转发等路由器功能,然后再配以高度简化的 WEB 操作管理界面,实现小型局域网和无线局域网的一些必要配置。
熟悉路由器行业历史情况的安全人员都应该记得,不仅是 SOHO 路由器的软件经常有 BUG,而且是即使是大厂,也经常在路由器的固件软件上翻车。
最典型的就是产品发布后才发现没有删除用于调试的内置账号信息,直接沦为后门。
其次就是登录欺骗或登录劫持,相当一部分原因依然还是内置用于调试的特定登录机制在产品发布时没有删除,以及软件登录验证不严谨的 BUG。
而且,由于 SOHO 路由器的用量相当大,一旦被发现存在漏洞,就会在互联网上形成大范围的安全隐患,黑客甚至可以编写机器人软件实现自动查找、劫持和利用 SOHO 路由器发起更多攻击,用户自己还懵然不知。
鉴于该种情况频繁发生且已经成为严重安全事件的成因之一,所以美国网络安全与基础设施安全局要求设备生产商从产品的设计上实现产品的安全,以抵御和避免被黑客劫持利用。
作为用户,也可以从这些对厂商的要求中结合自己手头在用的路由器产品,看看同时要做些什么去防范自己的路由器被劫持。
这些要求概括有如下6点:
1 WEB 管理界面的安全性要在设计和开发阶段就给予关注和加强,厂商应通盘考虑从产品到用户以至社会性的安全全景,并发布其安全设计路线图。
对于用户,可将此项转移为采购路由器时对品牌的选择。对于把安全性作为企业形象的重要支撑去声明和宣传的厂家,相对会比默不作声的更优。
2 路由器的默认配置必须支持自动进行安全更新。
可以检查一下自己手头的路由器是否支持自动更新,如果支持就开启,如果不支持,可以采取定期检查厂家是否发布更新的措施去及时更新。虽然这比不上自动更新来得安全,但总比不更新要好。
3 默认设置按安全要求设置,并且任何安全设置的关闭都必须只能手工操作,还要有强烈的劝阻提示,除非用户已经具备足够有效的控制措施。
要全面复核手头的路由器是否已经适当启用了安全设置,对于关闭了的安全设置要从被利用导致被劫持的方向思考是否确实需要关闭,不确定的应保持启用。
4 WEB 管理界面只能向本地局域网开放。
大多数 SOHO 路由器都可以选择把管理界面是否向公网开放。对于不具备足够安全能力的个人或企业来说,应确保管理界面不向公网开放。
5 终止维护,不提供安全更新的路由器应发布公告。
作为用户应及时弃用已经被声明终止维护的路由器。通常厂家对产品的维护周期是与设备的固定资产生命周期(折旧)相一致的,虽然对于家庭用户来说没有折旧一说,但在安全的前提下,更换路由器这点小钱还是应该及时花,否则被劫持路由器后,劫持者是有可能掌握家庭的全部信息的。
6 设备厂商应主动透明地以 CVE 及 CWE 方式公开漏洞信息,并及时发布安全更新。
这一项与一般用户有距离。对于具备相关知识的用户来说,可以通过厂家发布的 CVE 和 CWE 充分评估自身环境的安全性,并选择执行应对措施。
小结
笔者之前曾经翻译了一系列源自 Center for Internet Security 的 SOHO 环境安全控制措施指南:
这7篇的内容是对小微企业或者居家办公情况的网络安全问题应对措施的整体说明。包括了网络设备选型采购、设备的安全设置、全面运用加密措施以及执行必要的网络管理和运维等。
读者可以参考本文的应对分析,再结合 CIS 安全指南执行安全措施,以达到足够充分的安全加固环境。
参考
[1] Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers
[2] NIST IR 8425 Profile of the IoT Core Baseline for Consumer IoT Products
https://csrc.nist.gov/pubs/ir/8425/final
[3] Secure-by-Design: Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software
https://www.cisa.gov/sites/default/files/2023-10/SecureByDesign_1025_508c.pdf
本站微信订阅号:
本页网址二维码: