To, že výchozí konfigurace, především defaultní jména a hesla, bývají příčinou mnoha bezpečnostních incidentů, je věc dobře známá. Kromě výchozích hesel je ale mnohde pro zajištění bezpečnosti často potřeba měnit i další nastavení. Fungování řady zařízení metodou plug-and-play přímo svádí k tomu je prostě zapojit do sítě a bez dalšího začít používat. Problém může být třeba i v nastavení některých cloudových služeb. Curtis Franklin na webu DarkReading v této souvislosti vypočítává, na co by si měly podniky dávat v této souvislosti největší pozor.
Jeho 6 tipů je následujících:
Cisco Configuration Professional: jedná se o nástroj pro konfiguraci směrovačů Cisco, ve špatných rukou dává možnost dělat si v síti, co útočník chce. Program by neměl být v běžném provozu používán s nejvyššími oprávněními a veškerá uživatelská oprávnění je třeba průběžně aktualizovat, což se často neděje.
Domácí kabelové modemy a směrovače: zaměstnanci přistupující do podnikové sítě přes kabelové modemy a routery by je neměli používat s oprávněními správce. Správci IT ve firmách by měli ověřit, zda zde nebyla ponechána výchozí hesla (tj. pokusí se připojit k zařízení pomocí nejčastějších defaultních hesel, které by s největší pravděpodobností zkusili i útočníci).
Raspberry Pi: Toto zařízení výrobce neprodává jako určené do podniků, nicméně zaměstnanci si je sem přesto často připojují a používají k nejrůznějším účelům. Tak jako jiná soukromá zařízení, i Raspberry Pi přináší vlastní bezpečnostní rizika a může se stát bodem, odkud útočník pronikne do zbytku firemní sítě. Nelze spoléhat na to, že uživatelé Raspberry jsou odborníci či techničtí nadšenci, a proto zabezpečení zajistí v dostatečné míře. Ani to, že zařízení je postaveno na Linuxu, není žádnou zárukou.
MySQL: Databáze MySQL je často součástí síťových zařízení, vestavěných systémů i jako back-end webových aplikací. Firmy často nevědí, kolik těchto databází ve skutečně používají. Je třeba zmapovat celou síť, např. pomocí programu Shodan, a zkontrolovat všechna nastavení (ve výchozím nastavení je MySQL dokonce bez hesla).
SNMP Community String: V prvních dvou verzích protokolu SNMP (existují tři) jako jediný způsob prověření fungoval tzv. „community string“. Přístup pro čtení nebo i pro čtení a zápis k síťovým zařízením se získával prostřednictvím jednoduchého textového řetězce. Síťová zařízení měla nejčastěji výchozí community string „public“, „private“ nebo „write“. Nejnovější verze SNMP poskytuje silnější metody ověření (včetně podpory šifrování), ale stále se používá řada zařízení se staršími verzemi. Je třeba projít všechna síťová zařízení a zkontrolovat jejich community string a kde je to možné, aktualizovat SNMP na novější verzi.
Zařízení IoT: U některých zařízeních Internetu věcí je změna výchozích hesel obtížná nebo dokonce prakticky nemožná. Je třeba zmapovat síť, najít všechna zařízení IoT a některá dovybavit speciální externí ochranou. Tam, kde hesla nelze měnit, je třeba sledovat tyto pokyny na úrovni celé sítě a identifikovat tak pokusy o útok. Pro každé zařízení je třeba nastavit povolené porty a rozsahy adres.
