【10月14日51CTO外电头条】泰坦尼克号曾被认为是不会沉没的,尽管当前的工程技术可以确保豪华游轮不大可能撞上巨大的冰山,但也不能100%保证它就是安全的。
在现代企业中,许多人也曾有类似的刀枪不入的看法,但对于大型企业,要想全年不发生一起事故难度可不小,我们应该听过很多关于暴力攻击,无线网络嗅探,蓝牙狙击的故事,这些行为的目的只有一个,就是想方设法搞到企业的商业机密。
有六个安全漏洞在很多企业中长期都处于打开状态,即使是那些自认为在安全方面做得还不错的企业也如此,在你的企业撞上冰山之前,来听听安全顾问的建议吧。
1、无线网络上未经授权访问的智能手机
智能手机给企业带来的风险超过了传统的PC设备,主要原因是有些员工不能抗拒在办公室使用个人设备,即使公司明令禁止使用,但他们往往也会将这些条款抛诸脑后。
互联网安全顾问公司SecTheory创始人Robert Hansen说:“危险之源是智能手机属于三穴设备:可连接蓝牙,Wi-Fi和GSM网络,员工在办公室使用个人设备会引入一个潜在的攻击点,通常,你使用的智能手机可以跨多个无线频道,如果不怀好意的人在停车场安装一个蓝牙狙击枪,那么他在一英里外就可以拦截蓝牙通信,首先通过蓝牙连接到智能手机,然后再连接到企业无线网络,蓝牙是给黑客接入Wi-Fi网络,进入进入企业网络敞开的一扇大门”。
Hansen说单纯禁止智能手机是不现实的,相反,他认为IT部门应该只允许经过授权的设备访问网络,并绑定MAC地址,这样在出现问题时可以进行追踪,因为每个移动设备都具有一个唯一的MAC地址。
另一个策略是使用网络访问控制(NAC),无论是谁要访问网络,都必须经过授权和登入验证,理想情况下,企业应该从企业网络中独立出一个专门供来宾使用的Wi-Fi网络,虽然这样可能会造出两个无线网络,会显得有些冗余和增加管理开销,但为了安全起见,Hansen认为这样做是值得的。
还有一个比较武断的做法,就是让所有想使用移动设备的员工统一平台,如Google的Android,从而阻止那些不受支持的设备,这样IT部门就不用处理众多的设备品牌和平台了,可以将重心放在安全事件的预防,发现和处理上。
2、网络打印机上开放的端口
谁能想到打印机也会带来安全风险呢,想必大多数公司都认为打印机是没有危险的,近几年来,带Wi-Fi功能的打印机已经很常见,有些甚至还支持3G网络和接入电话线发送传真,有些型号会阻止访问打印机上的某些端口,但Hansen说,如果一家大公司有200个打印机端口需要阻止访问,那么可能有另1000个端口就是敞开的,黑客可以通过这些端口入侵企业网络的,更恶毒的伎俩是采集所有打印输出的内容,要知道传送给打印机的商业机密可不少。
安全专家Jay Valentine说:“你之所以没有听说过是因为目前还没有一个有效的方法来关闭它们,在电力行业,我看到所有访问都是网络端口进行的,风险真的是太高了”。
解决这个问题的最好办法是禁用打印机上的无线功能,如果现实不允许这么做,应确保所有端口阻止任何未经授权的访问。使用安全管理工具监控和报告开放的打印机端口也很重要,ActiveXperts软件公司的Active Monitor就是这样的工具。
3、定制开发的Web应用程序潜伏着的不良代码
任何安全专家都非常害怕粗心程序员开发的程序,不管是定制开发的软件,还是商业软件或开源软件,都存在这样的问题,如果你的程序中使用了SQL Server的xp_cmdshell,那一定是没有安全意识的人编写的代码,它会将攻击面放得很宽,黑客可以藉此获得数据库的全部访问权限,你的数据将毫无秘密可言,并且还可以利用这个漏洞在网络上安装后门。
Hansen说Web服务器上的PHP程序也常常成为攻击的目标,很小的编码错误,如从应用程序调用一个远程文件时的保护措施不当,就会为黑客留下嵌入恶意代码的机会,如果开发人员限制不严格,用户在表单中的输入就可以调用某个文件,或是公司博客使用trackback功能向文章原始出处报告链接时,可能未对URL进行处理,进而引发对数据库的非法查询。
避免这个问题的最好办法是不使用免费提供的PHP脚本,博客插件和其它可能不安全的代码,如果确实需要,必须用安全监控工具检测出PHP脚本中的漏洞。
#p#
4、社交网络欺骗
Facebook和Twitter用户可能被欺骗而泄露敏感信息,通常,这种类型的攻击是细微的,不一定有追查的必要。
Hansen说:“找工作的人通常会泄露一些个人信息,我的一个客户曾告诉我,黑客利用求职网站的虚假邮件地址冒充招聘人员要求求职者提供登录凭据信息,一般来说,求职网站的工作人员是不会要求求职者提供登录信息的,这就好像信封上的地址,它写的地址并一定代表信就真的是从那里寄出的”。
企业应该使用电子邮件验证系统核实发件人的身份,一般采用向显示的发件人地址发送一封邮件以确认其真伪,有些地方已经将非法假冒他人电子邮件的做法列为非法行为。
5、员工非法下载电影和音乐
P2P网络不会在打压下消失,在大公司里并不难发现使用P2P网络的员工,他们可能会用它非法下载电影和音乐,还有的人会用来分发软件,安全培训公司Security Awareness的CEO Winn Schwartau说:“正常来说,企业应该完全封锁P2P网络,P2P程序应该通过企业服务器上的黑名单列表和过滤器全部禁行”。
Schwartau说:“纽约一家金融服务公司的网络上开放了所有P2P端口,全天都有P2P程序在运行,最后居然发现公司的一台服务器被作为色情文件服务器了,黑客们很喜欢借用P2P服务器实施攻击或见不得光的犯罪活动,向P2P文件注入恶意代码对他们来说是小儿科,一旦有人运行了被破坏的P2P文件,黑客就在他的电脑上落脚了,如果不幸是公司的电脑,那公司的网络就向黑客敞开了大门”。
Schwartau建议实施资源隔离,这种技术可以根据用户的权限控制对网络资源的访问,不同的操作系统方法有所不一样,但在企业缺乏有效的安全策略或策略得不到有效遵守的情况下,采用这种技术的价值还是很大的。
Schwartau建议IT部门应定期扫描企业网络和服务器,查看是否有P2P活动,如果发现了P2P活动,应保持警惕并及时采取措施加以限制。
6、短信欺诈和恶意软件感染
智能手机上的短信是另一个潜在的攻击点,黑客向目标雇员发送SMS短信,诱使其泄露如登录凭据等敏感信息,此外,它们还能利用智能手机操作系统的漏洞,通过短信直接在手机上安装恶意软件。
Schwartau说:“在我们的实验中证明,一个rootkit完全可以开启智能手机的麦克风,但其所有者一点也不知情,攻击者可以向目标手机发送一条看不见的短信,告诉它拨打指定电话,并开启麦克风,如果攻击对象刚好在参加一个重要的会议,这种攻击的威力就显得无比强大了,手机将沦为一个永远不会被发现的窃听器”。
Schwartau说有许多方法可以过滤SMS活动,但都得依赖于运营商,因为SMS不是基于IP的,系统要管理员通常拿它没有办法,最好的办法是选择部署了恶意软件过滤,SMS过滤和重定向等攻击过滤的运营商。
最后,出台严厉的管理制度,要求员工使用指定或公司配发的智能手机,确保政策得到完美执行是减少这类风险的最佳办法。
当然,凭现在的技术,企业不可能阻止掉所有的安全攻击,黑客也会不断尝试新的攻击手段,现在你要做的是尽快堵住本文指出的六个安全漏洞,此外,你还应该时刻关注最新的恶意软件活动。
原文名:Six enterprise security leaks you should plug now 作者:John Brandon
【本文乃51CTO精选译文,转载请务必标明作者和出处!】
【编辑推荐】
