你現在就應該堵住的6個企業安全漏洞
原創【10月14日51CTO外電頭條】泰坦尼克號曾被認為是不會沉沒的,盡管當前的工程技術可以確保豪華游輪不大可能撞上巨大的冰山,但也不能100%保證它就是安全的。
在現代企業中,許多人也曾有類似的刀槍不入的看法,但對于大型企業,要想全年不發生一起事故難度可不小,我們應該聽過很多關于暴力攻擊,無線網絡嗅探,藍牙狙擊的故事,這些行為的目的只有一個,就是想方設法搞到企業的商業機密。
有六個安全漏洞在很多企業中長期都處于打開狀態,即使是那些自認為在安全方面做得還不錯的企業也如此,在你的企業撞上冰山之前,來聽聽安全顧問的建議吧。
1、無線網絡上未經授權訪問的智能手機
智能手機給企業帶來的風險超過了傳統的PC設備,主要原因是有些員工不能抗拒在辦公室使用個人設備,即使公司明令禁止使用,但他們往往也會將這些條款拋諸腦后。
互聯網安全顧問公司SecTheory創始人Robert Hansen說:“危險之源是智能手機屬于三穴設備:可連接藍牙,Wi-Fi和GSM網絡,員工在辦公室使用個人設備會引入一個潛在的攻擊點,通常,你使用的智能手機可以跨多個無線頻道,如果不懷好意的人在停車場安裝一個藍牙狙擊槍,那么他在一英里外就可以攔截藍牙通信,首先通過藍牙連接到智能手機,然后再連接到企業無線網絡,藍牙是給黑客接入Wi-Fi網絡,進入進入企業網絡敞開的一扇大門”。
Hansen說單純禁止智能手機是不現實的,相反,他認為IT部門應該只允許經過授權的設備訪問網絡,并綁定MAC地址,這樣在出現問題時可以進行追蹤,因為每個移動設備都具有一個唯一的MAC地址。
另一個策略是使用網絡訪問控制(NAC),無論是誰要訪問網絡,都必須經過授權和登入驗證,理想情況下,企業應該從企業網絡中獨立出一個專門供來賓使用的Wi-Fi網絡,雖然這樣可能會造出兩個無線網絡,會顯得有些冗余和增加管理開銷,但為了安全起見,Hansen認為這樣做是值得的。
還有一個比較武斷的做法,就是讓所有想使用移動設備的員工統一平臺,如Google的Android,從而阻止那些不受支持的設備,這樣IT部門就不用處理眾多的設備品牌和平臺了,可以將重心放在安全事件的預防,發現和處理上。
2、網絡打印機上開放的端口
誰能想到打印機也會帶來安全風險呢,想必大多數公司都認為打印機是沒有危險的,近幾年來,帶Wi-Fi功能的打印機已經很常見,有些甚至還支持3G網絡和接入電話線發送傳真,有些型號會阻止訪問打印機上的某些端口,但Hansen說,如果一家大公司有200個打印機端口需要阻止訪問,那么可能有另1000個端口就是敞開的,黑客可以通過這些端口入侵企業網絡的,更惡毒的伎倆是采集所有打印輸出的內容,要知道傳送給打印機的商業機密可不少。
安全專家Jay Valentine說:“你之所以沒有聽說過是因為目前還沒有一個有效的方法來關閉它們,在電力行業,我看到所有訪問都是網絡端口進行的,風險真的是太高了”。
解決這個問題的最好辦法是禁用打印機上的無線功能,如果現實不允許這么做,應確保所有端口阻止任何未經授權的訪問。使用安全管理工具監控和報告開放的打印機端口也很重要,ActiveXperts軟件公司的Active Monitor就是這樣的工具。
3、定制開發的Web應用程序潛伏著的不良代碼
任何安全專家都非常害怕粗心程序員開發的程序,不管是定制開發的軟件,還是商業軟件或開源軟件,都存在這樣的問題,如果你的程序中使用了SQL Server的xp_cmdshell,那一定是沒有安全意識的人編寫的代碼,它會將攻擊面放得很寬,黑客可以藉此獲得數據庫的全部訪問權限,你的數據將毫無秘密可言,并且還可以利用這個漏洞在網絡上安裝后門。
Hansen說Web服務器上的PHP程序也常常成為攻擊的目標,很小的編碼錯誤,如從應用程序調用一個遠程文件時的保護措施不當,就會為黑客留下嵌入惡意代碼的機會,如果開發人員限制不嚴格,用戶在表單中的輸入就可以調用某個文件,或是公司博客使用trackback功能向文章原始出處報告鏈接時,可能未對URL進行處理,進而引發對數據庫的非法查詢。
避免這個問題的最好辦法是不使用免費提供的PHP腳本,博客插件和其它可能不安全的代碼,如果確實需要,必須用安全監控工具檢測出PHP腳本中的漏洞。
#p#
4、社交網絡欺騙
Facebook和Twitter用戶可能被欺騙而泄露敏感信息,通常,這種類型的攻擊是細微的,不一定有追查的必要。
Hansen說:“找工作的人通常會泄露一些個人信息,我的一個客戶曾告訴我,黑客利用求職網站的虛假郵件地址冒充招聘人員要求求職者提供登錄憑據信息,一般來說,求職網站的工作人員是不會要求求職者提供登錄信息的,這就好像信封上的地址,它寫的地址并一定代表信就真的是從那里寄出的”。
企業應該使用電子郵件驗證系統核實發件人的身份,一般采用向顯示的發件人地址發送一封郵件以確認其真偽,有些地方已經將非法假冒他人電子郵件的做法列為非法行為。
5、員工非法下載電影和音樂
P2P網絡不會在打壓下消失,在大公司里并不難發現使用P2P網絡的員工,他們可能會用它非法下載電影和音樂,還有的人會用來分發軟件,安全培訓公司Security Awareness的CEO Winn Schwartau說:“正常來說,企業應該完全封鎖P2P網絡,P2P程序應該通過企業服務器上的黑名單列表和過濾器全部禁行”。
Schwartau說:“紐約一家金融服務公司的網絡上開放了所有P2P端口,全天都有P2P程序在運行,最后居然發現公司的一臺服務器被作為色情文件服務器了,黑客們很喜歡借用P2P服務器實施攻擊或見不得光的犯罪活動,向P2P文件注入惡意代碼對他們來說是小兒科,一旦有人運行了被破壞的P2P文件,黑客就在他的電腦上落腳了,如果不幸是公司的電腦,那公司的網絡就向黑客敞開了大門”。
Schwartau建議實施資源隔離,這種技術可以根據用戶的權限控制對網絡資源的訪問,不同的操作系統方法有所不一樣,但在企業缺乏有效的安全策略或策略得不到有效遵守的情況下,采用這種技術的價值還是很大的。
Schwartau建議IT部門應定期掃描企業網絡和服務器,查看是否有P2P活動,如果發現了P2P活動,應保持警惕并及時采取措施加以限制。
6、短信欺詐和惡意軟件感染
智能手機上的短信是另一個潛在的攻擊點,黑客向目標雇員發送SMS短信,誘使其泄露如登錄憑據等敏感信息,此外,它們還能利用智能手機操作系統的漏洞,通過短信直接在手機上安裝惡意軟件。
Schwartau說:“在我們的實驗中證明,一個rootkit完全可以開啟智能手機的麥克風,但其所有者一點也不知情,攻擊者可以向目標手機發送一條看不見的短信,告訴它撥打指定電話,并開啟麥克風,如果攻擊對象剛好在參加一個重要的會議,這種攻擊的威力就顯得無比強大了,手機將淪為一個永遠不會被發現的竊聽器”。
Schwartau說有許多方法可以過濾SMS活動,但都得依賴于運營商,因為SMS不是基于IP的,系統要管理員通常拿它沒有辦法,最好的辦法是選擇部署了惡意軟件過濾,SMS過濾和重定向等攻擊過濾的運營商。
最后,出臺嚴厲的管理制度,要求員工使用指定或公司配發的智能手機,確保政策得到完美執行是減少這類風險的最佳辦法。
當然,憑現在的技術,企業不可能阻止掉所有的安全攻擊,黑客也會不斷嘗試新的攻擊手段,現在你要做的是盡快堵住本文指出的六個安全漏洞,此外,你還應該時刻關注最新的惡意軟件活動。
原文名:Six enterprise security leaks you should plug now 作者:John Brandon
【本文乃51CTO精選譯文,轉載請務必標明作者和出處!】
【編輯推薦】
