細(xì)微的失誤往往會(huì)導(dǎo)致極大的安全隱患�����。有時(shí)候一些未知或是容易被忽視的細(xì)微失誤最終導(dǎo)致機(jī)構(gòu)在攻擊行為面前城門大開(kāi):服務(wù)器配置中的hash標(biāo)示缺失��、某個(gè)長(zhǎng)期被遺忘的PBX用戶賬戶或者是辦公室打印機(jī)中的嵌入式Web服務(wù)都在此列��。
其實(shí)我們的制約機(jī)制不能說(shuō)不完善����,來(lái)自規(guī)范的壓力����、日益增長(zhǎng)的惡意軟件戒備心以及對(duì)成為頭號(hào)數(shù)據(jù)侵犯受害者的恐懼,這一切似乎都使企業(yè)不可能不注意到自身底層設(shè)備的潛在問(wèn)題或是細(xì)微的配置錯(cuò)誤����。
但即便如此,當(dāng)壞人以某個(gè)不起眼的薄弱環(huán)節(jié)為目標(biāo)而磨刀霍霍——例如那些由于年深日久��、很少用到而沒(méi)有加裝最新安全補(bǔ)丁的臺(tái)式機(jī)--無(wú)知不能成為我們逃避責(zé)任的借口�。攻擊者只要抓住一個(gè)漏洞��,即可獲得在某個(gè)機(jī)構(gòu)中立足的平臺(tái)�����,進(jìn)而竊取敏感數(shù)據(jù)或是組織長(zhǎng)期計(jì)算機(jī)諜報(bào)工作��。
意識(shí)到威脅的嚴(yán)重性了?亡羊補(bǔ)牢��,未為晚矣�。讓我們看看企業(yè)常犯的一些細(xì)微但可能引發(fā)重大危險(xiǎn)的錯(cuò)誤�����,并在它們真的困擾大家之前將其扼殺在萌芽狀態(tài)��。
1.SSL服務(wù)器配置不當(dāng)
近來(lái)似乎已經(jīng)無(wú)法擺脫固有安全性薄弱的壞名聲�。但是,大多數(shù)SSL服務(wù)器的問(wèn)題其實(shí)主要出自配置不正確����,比如甚至連會(huì)話加密的功能都沒(méi)用到。實(shí)際上只有大約五分之一的SSL網(wǎng)站為SSL進(jìn)行了重寫定向以保障驗(yàn)證機(jī)制的作用�����,而大約70%的SSL服務(wù)器處理驗(yàn)證的方式仍然是純文本登錄。尤其值得一提的是��,半數(shù)以上采用的是純文本密碼提交����。
以上結(jié)論來(lái)自SSL實(shí)驗(yàn)室所出具的一份全球性SSL調(diào)查報(bào)告,同時(shí)也是Qualys的社區(qū)項(xiàng)目�。但其內(nèi)容仍不全面:目前攻擊者們完全可以在無(wú)需僵尸網(wǎng)絡(luò)輔助的前提下進(jìn)行SSL服務(wù)器拒絕服務(wù)攻擊。本周一款新的黑客工具正式發(fā)布��。有了它���,攻擊者們能夠從一臺(tái)筆記本或其它計(jì)算機(jī)上利用SSL重議功能實(shí)現(xiàn)面向SSL服務(wù)器的DoS攻擊。
那些糊里糊涂將SSL重議功能設(shè)為啟用的機(jī)構(gòu)在這種攻擊面前可謂"人為刀俎����,我為魚(yú)肉",而該攻擊也以THC-SSL-DOS工具的名頭日趨流行��。安全專家聲稱��,Web服務(wù)器上的SSL重議功能其實(shí)沒(méi)什么實(shí)際用處�,因此建議大家一律加以禁用就對(duì)了。
但nCircle公司安全研究及開(kāi)發(fā)部門經(jīng)理Tyler Reguly卻認(rèn)為��,單純禁用是種被動(dòng)的對(duì)策,目前仍然沒(méi)有一套能夠抵御攻擊的實(shí)際解決方案�。因?yàn)?quot;這就是該協(xié)議自身的工作方式,"他評(píng)論道��。
Reguly指出���,此類DoS攻擊是SSL機(jī)制崩壞的又一明證�。"我們需要一套更好的機(jī)制�,"他說(shuō)。
2.忽略某個(gè)具備高權(quán)限卻極少使用的賬戶
許多機(jī)構(gòu)都沒(méi)有鎖定某些能夠直接登錄的管理賬戶�,這使得攻擊者有機(jī)可乘。但除此之外���,還有不少被忽略掉或是很少使用的高權(quán)限賬戶�,它們的存在本身就是安全機(jī)制的重大隱患�����。
一家素以高安全保障機(jī)制與管理員賬戶保護(hù)得力著稱的財(cái)富五百?gòu)?qiáng)金融服務(wù)公司��,近來(lái)就被一個(gè)長(zhǎng)期丟在某臺(tái)西門子Rolm程控交換機(jī)中落灰的區(qū)域管理員賬戶弄得狼狽不堪:這個(gè)權(quán)限極高的賬戶是被Trustwave SpiderLabs發(fā)現(xiàn)并被用于進(jìn)行參透測(cè)試�����。小小的疏忽如今卻成為攻克企業(yè)網(wǎng)絡(luò)那森嚴(yán)戒備的一枚穿甲彈。他們使用該賬戶建立克隆的服務(wù)臺(tái)語(yǔ)音信箱�����,并在求助者來(lái)電咨詢時(shí)通過(guò)社交手段獲取對(duì)應(yīng)的驗(yàn)證信息����。假冒IT服務(wù)臺(tái)工程師的Havelt很輕松就得到了一個(gè)VPN用戶的用戶名及雙要素驗(yàn)證令牌的密碼,進(jìn)而完成了VPN連接的長(zhǎng)效化工作����。
正是上述失誤,讓整個(gè)企業(yè)的人力資源����、金融與財(cái)富管理傳輸系統(tǒng)以及其它各類敏感信息通通暴露在攻擊者面前�。
"事情的起因細(xì)微且易被忽視,但一旦威脅出現(xiàn)��,事態(tài)就會(huì)像滾雪球那樣一發(fā)而不可收拾���,"Rob Havelt說(shuō)道�。他是Trustwave SpiderLabs的滲透測(cè)試部門主管�,主要負(fù)責(zé)為公司的金融服務(wù)類客戶提供測(cè)試服務(wù)����。"起因往往是這樣:萬(wàn)年不變的主題��,某個(gè)默認(rèn)賬戶連帶默認(rèn)密碼被遺忘在某處��������?雌饋(lái)沒(méi)什么大不了的�,但它迅速擴(kuò)大……只要我們隨便給別人某個(gè)級(jí)別的訪問(wèn)權(quán)限�����,他們總會(huì)發(fā)現(xiàn)其中的漏洞�。"Havelt建議稱,各機(jī)構(gòu)應(yīng)該審核所有設(shè)備���,甚至是像PBX這樣的遺留系統(tǒng)���。"務(wù)必確保密碼策略的正確執(zhí)行,"他說(shuō)道。在前面提到的金融服務(wù)公司案例中���,PBX系統(tǒng)"歸屬于"電話溝通部門而非IT部門�,這就形成了一個(gè)安全方面的斷層�����。"在理想狀態(tài)下��,大家需要為任何能夠接入(網(wǎng)絡(luò))的事物配備相關(guān)負(fù)責(zé)人�,"他補(bǔ)充道。
3.誤以為自己的VPN流量始終是安全的
只是某位用戶從酒店網(wǎng)絡(luò)連接到企業(yè)VPN上�,這就要跟遠(yuǎn)程安全性扯上關(guān)系,有點(diǎn)危言聳聽(tīng)了吧?事實(shí)上���,想當(dāng)然地認(rèn)為員工通過(guò)遠(yuǎn)程方式接入VPN的流量并不危險(xiǎn)是"一種極其嚴(yán)重的錯(cuò)誤"���,Nimmy Reichenberg表示。他是AlgoSec公司市場(chǎng)與商務(wù)開(kāi)發(fā)部門的副總裁�����。
"通過(guò)酒店網(wǎng)絡(luò)進(jìn)行工作����,其中不免摻雜大量可能趁虛而入的惡意軟件,并且其中很多都無(wú)法被終端的殺毒軟件檢測(cè)到����。那么一旦這些東西獲得進(jìn)入許可,企業(yè)網(wǎng)絡(luò)就準(zhǔn)備好面對(duì)惡意軟件的肆虐吧�,"他解釋道。"盡管不少員工經(jīng)常在外地或是家中以遠(yuǎn)程方式連接到VPN����,但他們很可能不具備(行之有效的)安全控制手段。"
因此盡管VPN會(huì)話在理論上經(jīng)過(guò)了驗(yàn)證及加密���,但已經(jīng)受到感染的用戶計(jì)算機(jī)仍然足以給企業(yè)網(wǎng)絡(luò)帶入惡意軟件�。如果用戶計(jì)算機(jī)受到的是bot感染���,那么僵尸網(wǎng)絡(luò)也同樣會(huì)侵入內(nèi)部網(wǎng)絡(luò)�����,Reichenberg如是說(shuō)��。
關(guān)鍵是要通過(guò)檢查�,首先阻止來(lái)自隔離區(qū)VPN流量,他指出�����。"大多數(shù)企業(yè)對(duì)此并不重視�,"他接著說(shuō)。"他們只檢查來(lái)自不受信任的外部來(lái)源的流量�,但如果流量通過(guò)VPN進(jìn)入,則往往不被視為安全威脅�。"
這種狀況可以通過(guò)合理的防火墻策略加以解決,他建議道���。
"很多人相信通過(guò)VPN的流量是安全的����,但我們認(rèn)為事實(shí)并非如此���,"他補(bǔ)充說(shuō)����。
