搜索 | 会员  
莫让企业撞上冰山 应当立即堵上的六个安全漏洞
来源: 第一财经周刊 |   作者:  日期:2010-10-14  类别:安全  主题:  编辑:德仔
泰坦尼克号被认为是不可能沉没的,它是当时杰出工程技术能力的证明,而且事实上豪华邮轮很少会与庞大的冰山相撞。  在现
泰坦尼克号被认为是不可能沉没的,它是当时杰出工程技术能力的证明,而且事实上豪华邮轮很少会与庞大的冰山相撞。
 在现代大型企业中,也有类似的不可能被攻破的概念。然而,对于每一个一年到头都不会发生任何事故的大型企业来说,也有许多关于危险的突破、WiFi嗅探事件和事故的报道,在这些事件中,蓝牙狙击步枪被用于窃取公司的机密。

  下面看一下经常洞开的6个安全漏洞。甚至在采取极好的安全防护措施的大型企业也存在这些安全漏洞。我们与安全顾问进行了探讨,找到了你们在企业大船撞上冰山之前能够采取的一些措施。

  1.未经批准在WiFi网络上使用智能手机

  智能手机为企业安全带来了最大的风险,主要原因是智能手机应用非常普遍,以至于一些员工忍不住在办公室使用这种手机,即使这些企业有现成的政策禁止员工在工作中使用自己的手机。

  互联网安全咨询公司SecTheory的创始人Robert Hansen说,这个危险就是手机是能够使用蓝牙、WiFi和GSM无线等三种信号的设备。他解释说,在工作中使用个人智能手机的员工会引入一个脆弱的通道,成为潜在的攻击点。

  Hansen说,如果你使用一种覆盖多个无线频谱的智能手机,在停车场上的某个人就能够使用蓝牙狙击步枪从一英里之外读取蓝牙信号,连接到一部智能手机,然后再连接到企业无线网络。蓝牙是一种开放的门户,允许黑客接入WiFi网络,从而进入企业网络。

  Hansen说,简单地不允许使用智能手机的政策似乎是无效的。员工将忍不住在工作中使用自己的智能手机,即使禁止他们这样做也无济于事。他说,IT部门应该仅允许获得批准的设备接入企业网络。这种接入应该以MAC地址为基础。这是与具体设备有关的唯一代码。从而使这些设备更容易跟踪。

  另一个策略是使用网络接入控制,保证正在进行连接的人是允许进行连接的。在一个理想的世界中,企业还应该把允许客户接入的WiFi网络与重要的企业网络隔离开,即使建两个无线局域网造成冗余和管理开销也应该这样做。

  另一种做法:提供经公司批准的采用谷歌Android等流行平台的智能手机,从而阻止员工使用没有技术支持的智能手机。通过鼓励使用获得批准的手机,IT部门能够把重点放在一类手机的安全防护措施方面,而不用处理许多品牌和平台的事情。

 2.网络打印机上的开放端口

  办公室打印机是另一种表面上无害的可能带来安全风险的设备,尽管都忘记了这种危险。在过去的几年里,打印机已经具有WiFi功能。有些打印机甚至使用3G和电话线接收传真。Hansen说,有些型号的打印机确实封锁了打印机的某些端口,但是,如果一家大型企业有200个封锁的打印机端口,就会有另外1000个敞开的端口。黑客能够通过这些端口进入企业网络。一种更恶毒的做法是捕获全部的打印输出以便窃取敏感的商业信息。

  安全专家Jay Valentine说,你没有听说过这种事情的一个原因是没有任何有效的关闭这些端口的方法。我们在供电行业一直都能看到通过网络端口接入的情况。这是一个随时都会发生的重要事件。

  Hansen说。解决这个问题的最佳方法就是完全关闭打印机的无线选择。如果那样做不可行,IT部门应该保证封锁全部端口,禁止任何非授权的接入。使用监视和报告打印机开放端口的安全管理工具也是很重要的。一个这样的工具是ActiveXperts软件公司的Active Monitor。

3.用糟糕的代码定制开发的Web应用程序

  每一个企业IT专业人员都担心草率地编程产生的安全漏洞。这种事情除了出现在商业软件和开源软件中,也可能出现在定制开发的软件中。Hansen说,一种常见的做法是利用服务器上的xp_cmdshell例行程序。经验不足的程序员或者系统管理员会为攻击敞开这个大门。实施这种攻击的黑客能够得到数据库的全部访问权限,这将提供一个进入数据库的入口和一个进出网络的后门。

  Hansen说,Web服务器上的PHP例行程序也可能遭到攻击。一个小编码错误也会给黑客提供一个嵌入他们自己的代码的途径,例如,在从一个应用程序调用一个远程文件时采取的不适当的安全保护。如果一个开发人员没有注意限制哪些文件可以根据用户的表单输入调用,或者一个使用引用通告功能的公司博客报告链回自己帖子的链接,但没有首先审查存储的URL地址以阻止非授权的数据库查询,上述事件就会发生。

  解决这个问题的最明显的方法是避免使用一些软件,如免费提供的PHP脚本、博客插件和其它可疑的代码。如果需要这类软件,安全监视工具甚至能够检测到小PHP脚本中的安全漏洞。

4.社交网络欺骗

  FacebookTwitter用户可能受骗泄露敏感信息。一般来说,这些攻击是很狡猾的并且是很难跟踪的。

  Hansen说,求职的人通常愿意泄露自己的个人信息。他说,他的一个客户向他讲述了一个黑客如何利用假冒的来自求职网站的电子邮件地址冒充招聘人员的故事。为了保护这个客户,他没有详细介绍这个事情,只是说这是一个他称作“混淆代理”(confused deputy)的例子。在这个例子中,自称是Monster.com求职网站招聘人员的某人联系一个雇员,而这个雇员就以为那个人是Monster.com网站的招聘人员并且没有要求验证他的证书。Hansen说,这就像在邮件中放入一个信封,仅仅因为这个信封有一个回信地址,并不意味着这个内容就是来自发信者。

  企业应该使用电子邮件验证系统,证实发件人的身份。验证方法是向那个地址发回一封电子邮件以验证发件人的证书。包括德克萨斯州在内的一些州已经规定用电子邮件假冒他人是违法的。

 5.员工下载非法电影和音乐

  P2P网络还没有消失。在一个大型企业里,员工使用P2P系统下载非法软件或者设置自己的软件分发服务器是很常见的。

  安全培训公司Security Awareness的首席执行官Winn Schwartau说,作为一项政策,每一个大型企业都应该完全封锁P2P网络。在所有外围环境都应该完全关闭P2P端口,理想的情况是在公司的端点关闭P2P端口。可以通过企业服务器上的白名单/黑名单列表以及过滤器阻止P2P程序。

  Schwartau讲述了纽约的一家金融服务公司的故事。这家公司在办公室里有一个P2P端口每天都一直开着。最终,人们发现它成了一台淫秽文件服务器。Schwartau说,犯罪黑客通常被这种恶意行动所吸引,因此,他们查看的第一个地方就是P2P服务器和任何潜在的安全漏洞。

  Schwartau说,向P2P文件注入恶意代码并不困难,并且根据代码设计还可以在机构内部创建一个滩头阵地。他建议采用一种名为“资源隔离”的技术,根据权限控制用户可以访问哪些应用程序。他说,不同的操作系统做这件事情所采取的方式略有不同,但是,在缺少企业政策或者企业政策执行不力的地方,采用这种技术是值得的。

  Schwartau鼓励IT部门定期对整个公司的网络和服务器进行全面的扫描以查找P2P活动并且对于封锁任何P2P活动保持警惕。

 6.短信诈骗和恶意软件感染

  另一种潜在的攻击方式是智能手机短信。黑客能够利用短信联系员工,其直接的意图是欺骗员工泄露敏感信息,如网络登录证书和商业情报等。但是,他们还能利用短信在手机上安装恶意软件。

  Schwartau说,在我们的概念证明工作中,我们展示了一个Rootkit(根工具包)如何在用户不知情的情况下打开手机上的麦克风。攻击者能够向被感染的手机发送看不见的信息,让手机拨打电话或者打开麦克风。如果手机的拥有者正在参加一个会议并且这个攻击者想窃听的话,这种攻击是一个极好的策略。

  Schwartau说,有许多方法可以过滤这种短信行为,但是,这个工作通常要通过无线运营商来完成,因为短信并不是基于IP的,因此通常不能被企业管理员来控制。封锁这种攻击的最佳方法是与运营商合作,保证运营商使用封锁恶意软件的软件、短信过滤器和给这种攻击重新定向。

  再说一次,制定智能手机使用政策,鼓励或者要求仅使用公司批准的或者公司提供的手机和服务计划能够减少这种风险。

  当然,企业使用目前的技术不能阻止每一个可能的安全攻击。黑客正在不断地改变策略。你应该设法堵住上述6个安全漏洞。而且,你还应该关注新的恶意活动形式。

 
德仔网尊重行业规范,每篇文章都注明有明确的作者和来源;德仔网的原创文章,请转载时务必注明文章作者和来源:德仔网;
头条那些事
大家在关注
我们的推荐
也许感兴趣的
干货