|
|
很多团队谈“安全基线检查”,往往把它当成一次性项目:跑一遍脚本,出份报告,合上电脑心安理得。真到事故复盘才发现,弱口令没清、端口乱开、补丁策略一团糟,问题全在“持续性”和“可操作”四个字。基线不是标准文档,而是组织日常运维的最低生存线。
先说弱口令。弱口令的本质不是用户懒,而是制度纵容。仅靠“强制8位含大小写数字特殊字符”并不够,攻击者撞库和彩虹表早已把这些套路吃透。更要命的是默认账号不收敛:设备上线没改默认口令、运维临时开的小号忘记回收。实践里我推三件事:一是无密码或弱口令定期审计自动化,不靠人巡;二是高敏资产落地MFA,把口令从“单点失败”变成组合门槛;三是凭据全生命周期管理,含到期提醒、轮转和撤销。一句不太好听的话:没有资产清单的口令治理,都是表演。
端口开放往往被忽略,因为“能用就行”。但攻击者的视角是“能扫就行”。我见过最离谱的是测试环境把数据库对全网敞开,理由是“省事”。基线里,端口策略应遵循三层过滤:主机级(只开最小必要端口)、网段级(安全域划分+ACL控制),暴露级(入口统一走网关/代理,禁止直出直入)。此外,服务探测要常态化:每周一次的端口和服务指纹对比,新增服务要纳入变更审批。别忘了横向移动通道:RPC、SMB、RDP、WinRM、SSH代理跳转,这些“内部便捷”在攻击链里都是高速公路。能收敛在堡垒机和零信任代理上的,就别裸奔。
补丁策略是最容易陷入口号主义的地方。很多团队宣称“高危漏洞48小时修复”,可一看就绪流程:评估滞后、测试环境缺失、回滚预案没有,最后只能拖。有效的做法是把补丁当发布流水线的一部分:风险分级(结合CVSS+可利用性+资产暴露面)、灰度验证(影子流量或低峰窗口)、标准化回滚(镜像快照/快照卷)、变更审计闭环。别把“打不上补丁”的资产留到年底体检——为它们建立补偿控制:WAF/IPS虚拟补丁、功能降级、临时隔离。更进一步,用SBOM和自动依赖扫描,把第三方组件的漏洞也纳入可见范围,别让“供应链黑盒”成为盲区。
还有几个常被忽略的细节。其一,基线需要“例外机制”,但例外必须可追溯:谁批准、到什么时候、替代控制是什么;否则例外就成了黑洞。其二,把度量做出来:弱口令发现率、修复SLA达成率、开放端口净变更、未打补丁资产占比,这些数字比任何宣言都诚实。其三,教育与默认值同等重要:把“安全默认开启”写进镜像与模版,比给员工发十封提醒邮件更有效。
最后提醒一句:基线是最低要求,不是追求上限。弱口令、端口与补丁这三件事,解决的是被批量化攻击“一锅端”的风险。把它们做扎实,再去谈更花哨的检测与响应,顺序别倒了。安全没有银弹,但有纪律;把纪律变成流水线,才是团队真正的安全基线。 |
|