背景介绍
从纸笔办公到物联网时代,你知道哪些攻击面是攻击者最常利用,而我们又最常忽略的吗?
现在,在你的办公室中可能还有一些老旧的传真机或是布满灰尘的打印机,在你的眼中,它们或许只是已经无法用来发送邮件或复印文档的过时技术。你可能也会将收发室/信房视为收集未经请求的垃圾信件的地方,而这些垃圾信件很快就会被你丢进垃圾箱。
是的,如此寻常的物件,如此寻常的操作,可能每天都在我们的生活和工作中上演。但是,攻击者却能够从中发现一些不同的东西:漏洞,一些通常会被安全部门忽略的漏洞。要记住,非计算机向量上的网络攻击要比你想象的更常见。
例如,今年8月,Check Point公司的研究人员就披露了全球数以亿计传真机所使用的通信协议中存在的两个严重远程代码执行(RCE)漏洞。该攻击被称为Faxploit,其中涉及了两个缓冲区溢出漏洞,一个在解析COM标记时触发(CVE-2018-5925),另一个基于堆栈的问题在解析DHT标记(CVE-2018-5924)时发生,这可以导致远程代码执行。
为了证明这一攻击,Check Point恶意软件研究团队负责人Yaniv Balmas和安全研究员Eyal Itkin还针对市面上流行的HP Officejet Pro多功能一体机、HP Officejet Pro 6830一体式打印机以及OfficeJet Pro 8720进行了测试。结果显示,研究人员只需使用一根电话线,然后发送传真,就可以完全控制传真机,并将恶意载荷横向扩散到打印机可访问的计算机网络中。
根据Check Point的研究,许多其他供应商的传真和多功能打印机,以及流行的在线传真服务(fax2email)都使用了相同的协议,因此也极可能受到此类攻击的影响。
虽然传真机并不是最现代化的技术,但是根据Spiceworks公司2017年进行的一项调查显示,62%的受访者表示他们仍在使用实体传真机;而IDC进行的一项调查也显示,82%的受访者表示他们使用传真的情况在2017年实际上是有所增长的。尤其令人担忧的现状是,传真仍广泛应用于医疗保健、法律、银行以及房地产等领域,被组织用于存储和处理大量高度敏感的个人数据。
当然,这只是经常被组织忽略的攻击向量中的一个例子,事实上,还存在很多诸如此类的高危却容易被人忽略的攻击面,接下来就为大家一一揭露:
7大攻击面
1. 打印机/多功能机
InGuardians高级管理安全分析师Tyler Robinson表示,信息安全专业人员应该确保他们的打印机不会暴露在互联网上。除此之外,他们还应该更改此类设备的默认密码,并指定相关负责人对打印机安全负责。
信息安全专业人员应该意识到,大多数多功能设备都有硬盘驱动器和完整的操作系统运行其上,这就意味着,黑客可能会窃取打印文档并从这些设备中扫描PDF文件。
此外,对于那些选择租用多功能设备,并每隔几年就会更换一次租赁设备的企业而言,必须制定一份明确的销毁策略,确保硬盘在设备返回供应商处之前被销毁。
2. 老旧传真设备
信息安全专业人员需要了解,个人身份信息可能会经由老旧的传真设备泄露出去。黑客通常会将传真转发到电子邮件地址,或者只是通过传真机发送数据。最好的防范措施是进行适当的清单,锁定默认接口,并确保传真机不会暴露在互联网上。对于不得不用传真机传递关键信息的情况,也应该通过专用线路进行操作。
由于多功能设备的加速发展,众多企业已经逐渐选择淘汰传真设备。对于选择淘汰这些老旧传真机的企业而言,最重要的就是要擦拭掉这些传真机的内存,并确保他们的处理供应商提供适当的销毁文件。而对于那些仍然依赖传真机的医疗保健等行业而言,请务必更改设备的默认密码,并禁用所有远程管理功能。
3. 会议室的视频系统
安全专家强调称,视频会议系统也不应该暴露于公共互联网上。公司应该明确规定谁可以使用这些系统的具体访问权限,并根据需要打开连接,而不是将其全天候开放。
一名研究人员还举例称,他曾接触到一家企业,其Polycom视频会议系统总是受到攻击。在后续检查期间,他发现,起因竟是该公司并未更改默认密码。所以,安全专业人员必须认真落实这些基本的管理任务,因为毫无疑问,黑客完全有能力通过视频会议系统远程监视您的对话和公司会议。
4. 收发室系统
首先要意识到,将快递运送和发往收发室的很大可能是不受信任或未经请求的代理商,这类人永远不能访问安全区域,如果可能,他们应该与公司环境之外的收发室进行交互。公司必须让您的收发室工作人员熟悉并能够识别常规的FedEx和UPS等快递标识。
此外,公司还需要对员工进行培训,告诉他们只需通过一个小小的拇指驱动器(无论是无意中捡到或是从未知来源的邮件中收到)就可以成功感染企业网络,因此,无论何时,不可轻易信任来自收发室的信件内容或将其中的东西用于公司网络中。
5. 供热通风和空调(HVAC)系统
不知大家是否还记得发生在2013年的Target数据泄漏事件?因其影响范围之广(超过1亿用户的信用卡、卡号、户主、地址、邮件地址以及电话皆被曝光)、损失之严重(被偷信用卡估计价值4亿美元)而成为信息安全领域中无法磨灭的一段历史。而这起事件最初的入侵点就是一个为攻击者所入侵的第三方HVAC系统。
公司必须首先让HVAC系统在自己的网络段上运行,然后再进行适当的控制和监控。如今,HVAC系统中的物联网传感器通常都是由一些IT经验有限的人员部署完成——他们在部署这些物联网设备和传感器之前通常不会对其进行彻底测试,且使用默认出厂密码对其进行安装,并且很少了解如何维护软件更新或加固系统。更令人担忧的现实是,由于物联网发展过于迅猛,导致物联网市场中的许多公司都是昙花一现般的存在继而消亡,很多企业维持不到两三年,更不用提持续的软件更新和技术支持了。
6. 接待区
无论是VOIP网络电话、接待区信息亭、数字电视显示器,还是与访客建立虚拟连接的虚拟接待员,公司接待区也应该在他们自己的网段上运行。
安全专家建议称,接待区网段应该与企业网络隔离,并加强抵御物理攻击。具体措施包括锁定USB端口或以太网插孔,如果有触屏,请使用唯一密码进行配置,并禁用所有管理功能。
7. 安全摄像头和门禁系统
企业还应该划分安全摄像头和门禁系统。这些系统需要纵深防御,因为公司需要依赖它们来控制对敏感区域的访问。而近年来,针对安全摄像头和门禁系统的攻击事件频发,让人们意识到黑客想要“破门而入”,访问企业网络是多么容易的一件事。
如今,越来越多的企业开始重视物理安全问题,因为它会影响企业整体的网络安全。为此,安全专家建议称,企业必须将门禁和摄像系统与其他IT系统同等看待——及时保持更新,将其划分到自己的网段中,并实时监控日志以检测攻击行为。