马奇诺防线曾被法国政府誉为固若金汤,但精心构筑的钢筋混凝土阵地还是被德国装甲部队奇袭突破,最终成为摆设和累赘。对于很多通过常见的信息安全技术和产品精心构筑起内网安保体系的大公司而言,尽管看似安全稳固,但一些容易忽视的漏洞,就会很容易让企业安全防护体系被“突破”,导致危险的后果。本文将探讨十个经常被企业(甚至那些看似重兵部署了安全措施的大公司)所忽略的安全漏洞。
1. 忽视安全产品体系本身的漏洞
安全产品和设备,本身也是一种信息系统,其具有其他软硬件IT设备一样的属性,即难免有软件BUG或硬件缺陷所导致的漏洞产生。以防火墙为例,别以为安装了硬件防火墙就万无一失了,因为经过它们的IP数据痕迹照样能够被读取。黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息漏洞实施网络入侵。
再以IDS(入侵检测系统)为例,很大一部分IDS都会有识别方式的设计漏洞。对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被黑客用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当黑客利用这种工具时,在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....”的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。
2. 忽视SSL安全应用,数据 完整性受威胁
企业应尽快为整个信息系统部署SSL服务器证书。SSL是世界上部署最广泛的安全协议,它应当部署在任何服务器上,以保护从浏览器传输到服务器的各种机密和个人信息。
安全套接层(SSL)加密是如今用来保护网站、内联网、外联网以及基于服务器的其他应用的最主要的技术之一。如果没有它,通过公共和专用网络交换的数据其完整性就会受到危及,最终影响业务连续性和利润。SSL可以保护网络访问、网上联系和数字交易,因为它能够在服务器和用户之间建立一条安全通道。一旦浏览器和服务器进行了信号交换,从一方传送到另一方的所有数据都经过了加密,从而可以防止可能会危及传送数据的安全性或者完整性的任何窃听行为。
3. 忽视无线网络中的未经授权智能手机
智能手机给企业安全带来了巨大的安全风险,主要是因为智能手机非常普遍,有些员工会在办公室使用个人设备,即使他们的雇主部署了有效的政策来禁止他们的使用,由于智能手机支持的设备。通过鼓励使用被批准的手机,IT部门可以集中在为单一平台设备部署安全措施,而不必处理众多品牌和平台。
如果你使用像智能手机一样跨越多个无线频谱的设备,“攻击者可能使用‘蓝牙狙击’从一英里外读取蓝牙信息,”Hansen表示。蓝牙是让攻击者访问无线网络然后攻击企业网络的开放端口。
4. 忽视了被打开的网络打印机端口
办公室打印机是另一个看似无害而实则带来安全风险的设备,大多数公司都忽略了这种危害。在过去几年,打印机已经可以通过无线网络连接,有些甚至使用3G连接和电话线来传真。有些模式确实可以阻止打印机的某些端口,如果在一家大型公司,打印机有200个阻止端口,那么可能会导致另外1000个端口的开放。攻击者可以通过这些端口侵入企业网络,更恶毒的伎俩就是捕捉所有打印信息以获取机密信息。
有安全专家认为,处理这个问题的最好方法就是禁用打印机上的所有无线选项。如果这不可行的话,IT部门需要确保所有端口都阻止了任何未经授权访问,同样重要的是,使用安全管理工具来检测和报告这些开放打印机端口。
5. 忽视企业定制软件程序中可能包含问题代码的问题
几乎每个企业安全专家都很害怕由于编程中的粗心大意而导致的漏洞。 这可能发生在定制开发软件以及行业软件和开源软件。
Web服务器上的PHP程序也可能辅助攻击者攻入网络。编码错误(例如当从应用程序调用远程文件时的不适当保护措施)可以让黑客添加他们自己的嵌入式代码。这确实有可能会发生,如果开发人员没有谨慎处理哪些文件可以基于用户的输入而被调用或者企业博客使用引用功能来报告链接回发布内容,而没有先消毒保存的URL以防止未经授权的数据库查询。最明显的解决方法就是避免使用诸如免费提供的PHP脚本软件、博客插件或者其他可疑的代码。如果确实需要使用可以进行三种连接方式上网,包括蓝牙、无线和GSM无线,由此增加了企业网络被攻击的潜在威胁。
简单禁止智能手机的政策不可能有效,员工总是禁不住诱惑在办公室使用他们的设备,即使这是被禁止的。IT部门应该只允许被批准的设备接入网络,并且这种访问应该是基于MAC地址的,该地址是与特定设备关联的独特代码,这样就可以追踪这些设备。
利用网络访问控制是确保阻止未经授权访问发生的另一个技巧。在一个理想世界中,企业都应该将客户接入无线网络与重要的企业网络分开,即使有两个无线局域网络意味着更多的冗余和管理开支。
另一个方法是提供强大的公司认可的智能手机,例如谷歌的Android,同时阻止员工使用不被这些软件,可以部署安全监测工具来检测漏洞。
6. 忽视社交网络欺骗攻击能力
以Facebook网站和Twitter微博为代表的社交网络应用已经风靡全球,很多信息泄漏和安全问题也由此产生。企业员工可能被愚弄至泄漏个人敏感信息,通常这种类型的攻击都很狡诈,很难被追查。
7. 忽视员工P2P下载带来的隐患
P2P网络是网络下载最盛行的一种方式。在一家大型公司,员工使用P2P系统下载非法内容或者建立自己的服务器来发布软件并不罕见。
向P2P文件注入恶意代码并不是难事,并且可能让企业陷入困境,根据代码涉及的不同,可以采用“资源隔离”的方法,从根本上控制哪些应用程序用户被允许访问。不同的操作系统处理方法也略有不同,但在企业政策无法有效执行的情况下,这种方法确实可以尝试。
8. 即时通讯消息欺骗和恶意软件感染
对企业信息安全来说,另外一个潜在攻击介质:智能手机的即时通讯消息。攻击者可以使用短信来联系员工试图让他们泄露关键信息,例如网络登录凭证和商业情报,他们也可以使用短信在手机上安装恶意软件。例如rootkit病毒可以在持有者不知道的情况下打开电话的麦克风,攻击者可以发送不可见的文本信息到被感染的手机让它进行呼叫并打开麦克风,当用户在开会或者攻击者想要偷听时,这种伎俩将会很有效。
阻止这种攻击的最佳办法就是与运营商合作以确保他们使用恶意拦截软件、短信过滤器以及重定向这种类型的攻击。另外,创建智能手机使用政策,鼓励或者要求使用公司认可或者公司提供的手机和服务计划能够减少这种风险。
9. 忽视在业务系统环境中进行测试的危害
建立非军事区(DMZ),以便把有风险的网络活动隔离在你的关键业务型生产网络部分之外,模拟生产环境,或者让客户可以进行各种验收测试。 允许通过调制解调器访问安全网络的中心部位,这是导致入侵的最常见根源之一。如今许多人使用所谓的战争拨号器(War Dialer),试图通过调制解调器组(Modem Bank)来访问企业或者政府的网络系统。这些人往往能够得逞。
建立可以访问因特网、但只能有限制性地访问内部网络的DMZ。可通过认真设置防火墙来做到这一点:把DMZ封锁起来,远离网络其余部分,同时仍允许可以全面访问因特网。防火墙可以保护网络的关键部分,远离这个DMZ。 如果客户或外来访问人员需要进行任何信息系统技术和设备测试,必须在公司网络上进行,只允许这种测试在DMZ进行。
10. 忽视最特别的安全漏洞可能是某些企业员工
定义安全规范。这也许是最容易被忽视的,也是十条指导准则中最重要的,不过也是最容易、可能也会带来最大影响的:把安全规范拟写成文、传达下去,并加以执行。
安全效果完全取决于贵组织的最薄弱环节。安全从来不是自动就能实现的,它需要人的参与。人员对组织的一项安全策略会取得多大成功具有最大的影响。不少实践已表明,从安全人员入手是突破组织安全体系的最简单方法。如果组织制订条文明确、解释清楚的安全策略,并加以执行,就能有效地对付这一点及简单的错误。 要明文规定有关设施访问、网络访问、合理使用公司系统与网络以及合理使用公司电子邮件和浏览器的相关流程和规则。
毫无疑问,IT世界从来不存在100%的安全,攻击与防范,从来都是动态地不断变化,因此企业也不可能阻止所有这些潜在的安全攻击。但企业应当明了企业内网系统有哪些漏洞所在,如同明了哪些信息资料是企业的核心机密一样清晰明确,那么,再进行相应管理和技术上的措施,修补漏洞,应急防范,那么,企业系统环境就应该迎来一片绿色平静的天空。