現(xiàn)在就該堵上的六大企業(yè)安全漏洞

泰坦尼克號(hào)曾被認(rèn)為是不會(huì)沉沒(méi)的，盡管當(dāng)前的工程技術(shù)可以確保豪華游輪不大可能撞上巨大的冰山，但也不能100%保證它就是安全的。

在現(xiàn)代企業(yè)中，許多人也曾有類似的刀槍不入的看法，但對(duì)于大型企業(yè)，要想全年不發(fā)生一起事故難度可不小，我們應(yīng)該聽(tīng)過(guò)很多關(guān)于暴力攻擊，無(wú)線網(wǎng)絡(luò)嗅探，藍(lán)牙狙擊的故事，這些行為的目的只有一個(gè)，就是想方設(shè)法搞到企業(yè)的商業(yè)機(jī)密。

有六個(gè)企業(yè)安全漏洞在很多企業(yè)中長(zhǎng)期都處于打開(kāi)狀態(tài)，即使是那些自認(rèn)為在安全方面做得還不錯(cuò)的企業(yè)也如此，在你的企業(yè)撞上冰山之前，來(lái)聽(tīng)聽(tīng)安全顧問(wèn)的建議吧。

1、無(wú)線網(wǎng)絡(luò)上未經(jīng)授權(quán)訪問(wèn)的智能手機(jī)

智能手機(jī)給企業(yè)帶來(lái)的風(fēng)險(xiǎn)超過(guò)了傳統(tǒng)的PC設(shè)備，主要原因是有些員工不能抗拒在辦公室使用個(gè)人設(shè)備，即使公司明令禁止使用，但他們往往也會(huì)將這些條款拋諸腦后。

互聯(lián)網(wǎng)安全顧問(wèn)公司SecTheory創(chuàng)始人Robert Hansen說(shuō)：“危險(xiǎn)之源是智能手機(jī)屬于三穴設(shè)備：可連接藍(lán)牙，Wi-Fi和GSM網(wǎng)絡(luò)，員工在辦公室使用個(gè)人設(shè)備會(huì)引入一個(gè)潛在的攻擊點(diǎn)，通常，你使用的智能手機(jī)可以跨多個(gè)無(wú)線頻道，如果不懷好意的人在停車場(chǎng)安裝一個(gè)藍(lán)牙狙擊槍，那么他在一英里外就可以攔截藍(lán)牙通信，首先通過(guò)藍(lán)牙連接到智能手機(jī)，然后再連接到企業(yè)無(wú)線網(wǎng)絡(luò)，藍(lán)牙是給黑客接入Wi-Fi網(wǎng)絡(luò)，進(jìn)入進(jìn)入企業(yè)網(wǎng)絡(luò)敞開(kāi)的一扇大門(mén)”。

Hansen說(shuō)單純禁止智能手機(jī)是不現(xiàn)實(shí)的，相反，他認(rèn)為IT部門(mén)應(yīng)該只允許經(jīng)過(guò)授權(quán)的設(shè)備訪問(wèn)網(wǎng)絡(luò)，并綁定MAC地址，這樣在出現(xiàn)問(wèn)題時(shí)可以進(jìn)行追蹤，因?yàn)槊總€(gè)移動(dòng)設(shè)備都具有一個(gè)唯一的MAC地址。

另一個(gè)策略是使用網(wǎng)絡(luò)訪問(wèn)控制（NAC），無(wú)論是誰(shuí)要訪問(wèn)網(wǎng)絡(luò)，都必須經(jīng)過(guò)授權(quán)和登入驗(yàn)證，理想情況下，企業(yè)應(yīng)該從企業(yè)網(wǎng)絡(luò)中獨(dú)立出一個(gè)專門(mén)供來(lái)賓使用的Wi-Fi網(wǎng)絡(luò)，雖然這樣可能會(huì)造出兩個(gè)無(wú)線網(wǎng)絡(luò)，會(huì)顯得有些冗余和增加管理開(kāi)銷，但為了安全起見(jiàn)，Hansen認(rèn)為這樣做是值得的。

還有一個(gè)比較武斷的做法，就是讓所有想使用移動(dòng)設(shè)備的員工統(tǒng)一平臺(tái)，如Google的Android，從而阻止那些不受支持的設(shè)備，這樣IT部門(mén)就不用處理眾多的設(shè)備品牌和平臺(tái)了，可以將重心放在安全事件的預(yù)防，發(fā)現(xiàn)和處理上。

2、網(wǎng)絡(luò)打印機(jī)上開(kāi)放的端口

誰(shuí)能想到打印機(jī)也會(huì)帶來(lái)安全風(fēng)險(xiǎn)呢，想必大多數(shù)公司都認(rèn)為打印機(jī)是沒(méi)有危險(xiǎn)的，近幾年來(lái)，帶Wi-Fi功能的打印機(jī)已經(jīng)很常見(jiàn)，有些甚至還支持3G網(wǎng)絡(luò)和接入電話線發(fā)送傳真，有些型號(hào)會(huì)阻止訪問(wèn)打印機(jī)上的某些端口，但Hansen說(shuō)，如果一家大公司有200個(gè)打印機(jī)端口需要阻止訪問(wèn)，那么可能有另1000個(gè)端口就是敞開(kāi)的，黑客可以通過(guò)這些端口入侵企業(yè)網(wǎng)絡(luò)的，更惡毒的伎倆是采集所有打印輸出的內(nèi)容，要知道傳送給打印機(jī)的商業(yè)機(jī)密可不少。

安全專家Jay Valentine說(shuō)：“你之所以沒(méi)有聽(tīng)說(shuō)過(guò)是因?yàn)槟壳斑€沒(méi)有一個(gè)有效的方法來(lái)關(guān)閉它們，在電力行業(yè)，我看到所有訪問(wèn)都是網(wǎng)絡(luò)端口進(jìn)行的，風(fēng)險(xiǎn)真的是太高了”。

解決這個(gè)問(wèn)題的最好辦法是禁用打印機(jī)上的無(wú)線功能，如果現(xiàn)實(shí)不允許這么做，應(yīng)確保所有端口阻止任何未經(jīng)授權(quán)的訪問(wèn)。使用安全管理工具監(jiān)控和報(bào)告開(kāi)放的打印機(jī)端口也很重要，ActiveXperts軟件公司的Active Monitor就是這樣的工具。

3、定制開(kāi)發(fā)的Web應(yīng)用程序潛伏著的不良代碼

任何安全專家都非常害怕粗心程序員開(kāi)發(fā)的程序，不管是定制開(kāi)發(fā)的軟件，還是商業(yè)軟件或開(kāi)源軟件，都存在這樣的問(wèn)題，如果你的程序中使用了SQL Server的xp_cmdshell，那一定是沒(méi)有安全意識(shí)的人編寫(xiě)的代碼，它會(huì)將攻擊面放得很寬，黑客可以藉此獲得數(shù)據(jù)庫(kù)的全部訪問(wèn)權(quán)限，你的數(shù)據(jù)將毫無(wú)秘密可言，并且還可以利用這個(gè)漏洞在網(wǎng)絡(luò)上安裝后門(mén)。

Hansen說(shuō)Web服務(wù)器上的PHP程序也常常成為攻擊的目標(biāo)，很小的編碼錯(cuò)誤，如從應(yīng)用程序調(diào)用一個(gè)遠(yuǎn)程文件時(shí)的保護(hù)措施不當(dāng)，就會(huì)為黑客留下嵌入惡意代碼的機(jī)會(huì)，如果開(kāi)發(fā)人員限制不嚴(yán)格，用戶在表單中的輸入就可以調(diào)用某個(gè)文件，或是公司博客使用trackback功能向文章原始出處報(bào)告鏈接時(shí)，可能未對(duì)URL進(jìn)行處理，進(jìn)而引發(fā)對(duì)數(shù)據(jù)庫(kù)的非法查詢。

避免這個(gè)問(wèn)題的最好辦法是不使用免費(fèi)提供的PHP腳本，博客插件和其它可能不安全的代碼，如果確實(shí)需要，必須用安全監(jiān)控工具檢測(cè)出PHP腳本中的漏洞。

4、社交網(wǎng)絡(luò)欺騙

Facebook和Twitter用戶可能被欺騙而泄露敏感信息，通常，這種類型的攻擊是細(xì)微的，不一定有追查的必要。

Hansen說(shuō)：“找工作的人通常會(huì)泄露一些個(gè)人信息，我的一個(gè)客戶曾告訴我，黑客利用求職網(wǎng)站的虛假郵件地址冒充招聘人員要求求職者提供登錄憑據(jù)信息，一般來(lái)說(shuō)，求職網(wǎng)站的工作人員是不會(huì)要求求職者提供登錄信息的，這就好像信封上的地址，它寫(xiě)的地址并一定代表信就真的是從那里寄出的”。

企業(yè)應(yīng)該使用電子郵件驗(yàn)證系統(tǒng)核實(shí)發(fā)件人的身份，一般采用向顯示的發(fā)件人地址發(fā)送一封郵件以確認(rèn)其真?zhèn)?，有些地方已?jīng)將非法假冒他人電子郵件的做法列為非法行為。

5、員工非法下載電影和音樂(lè)

P2P網(wǎng)絡(luò)不會(huì)在打壓下消失，在大公司里并不難發(fā)現(xiàn)使用P2P網(wǎng)絡(luò)的員工，他們可能會(huì)用它非法下載電影和音樂(lè)，還有的人會(huì)用來(lái)分發(fā)軟件，安全培訓(xùn)公司Security Awareness的CEO Winn Schwartau說(shuō)：“正常來(lái)說(shuō)，企業(yè)應(yīng)該完全封鎖P2P網(wǎng)絡(luò)，P2P程序應(yīng)該通過(guò)企業(yè)服務(wù)器上的黑名單列表和過(guò)濾器全部禁行”。

Schwartau說(shuō)：“紐約一家金融服務(wù)公司的網(wǎng)絡(luò)上開(kāi)放了所有P2P端口，全天都有P2P程序在運(yùn)行，最后居然發(fā)現(xiàn)公司的一臺(tái)服務(wù)器被作為色情文件服務(wù)器了，黑客們很喜歡借用P2P服務(wù)器實(shí)施攻擊或見(jiàn)不得光的犯罪活動(dòng)，向P2P文件注入惡意代碼對(duì)他們來(lái)說(shuō)是小兒科，一旦有人運(yùn)行了被破壞的P2P文件，黑客就在他的電腦上落腳了，如果不幸是公司的電腦，那公司的網(wǎng)絡(luò)就向黑客敞開(kāi)了大門(mén)”。

Schwartau建議實(shí)施資源隔離，這種技術(shù)可以根據(jù)用戶的權(quán)限控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，不同的操作系統(tǒng)方法有所不一樣，但在企業(yè)缺乏有效的安全策略或策略得不到有效遵守的情況下，采用這種技術(shù)的價(jià)值還是很大的。

Schwartau建議IT部門(mén)應(yīng)定期掃描企業(yè)網(wǎng)絡(luò)和服務(wù)器，查看是否有P2P活動(dòng)，如果發(fā)現(xiàn)了P2P活動(dòng)，應(yīng)保持警惕并及時(shí)采取措施加以限制。

6、短信欺詐和惡意軟件感染

智能手機(jī)上的短信是另一個(gè)潛在的攻擊點(diǎn)，黑客向目標(biāo)雇員發(fā)送SMS短信，誘使其泄露如登錄憑據(jù)等敏感信息，此外，它們還能利用智能手機(jī)操作系統(tǒng)的漏洞，通過(guò)短信直接在手機(jī)上安裝惡意軟件。

Schwartau說(shuō)：“在我們的實(shí)驗(yàn)中證明，一個(gè)rootkit完全可以開(kāi)啟智能手機(jī)的麥克風(fēng)，但其所有者一點(diǎn)也不知情，攻擊者可以向目標(biāo)手機(jī)發(fā)送一條看不見(jiàn)的短信，告訴它撥打指定電話，并開(kāi)啟麥克風(fēng)，如果攻擊對(duì)象剛好在參加一個(gè)重要的會(huì)議，這種攻擊的威力就顯得無(wú)比強(qiáng)大了，手機(jī)將淪為一個(gè)永遠(yuǎn)不會(huì)被發(fā)現(xiàn)的竊聽(tīng)器”。

Schwartau說(shuō)有許多方法可以過(guò)濾SMS活動(dòng)，但都得依賴于運(yùn)營(yíng)商，因?yàn)镾MS不是基于IP的，系統(tǒng)要管理員通常拿它沒(méi)有辦法，最好的辦法是選擇部署了惡意軟件過(guò)濾，SMS過(guò)濾和重定向等攻擊過(guò)濾的運(yùn)營(yíng)商。

最后，出臺(tái)嚴(yán)厲的管理制度，要求員工使用指定或公司配發(fā)的智能手機(jī)，確保政策得到完美執(zhí)行是減少這類風(fēng)險(xiǎn)的最佳辦法。

當(dāng)然，憑現(xiàn)在的技術(shù)，企業(yè)不可能阻止掉所有的安全攻擊，黑客也會(huì)不斷嘗試新的攻擊手段，現(xiàn)在你要做的是盡快堵住本文指出的六個(gè)安全漏洞，此外，你還應(yīng)該時(shí)刻關(guān)注最新的惡意軟件活動(dòng)。

【推薦閱讀】

◆IT運(yùn)維管理專區(qū)

◆別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆IT運(yùn)維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆網(wǎng)管軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:39 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：