企業(yè)常犯的六大致命性安全失誤

責任編輯:FLORA

2011-11-17 09:09:32

摘自:51CTO

細微的失誤往往會導致極大的安全隱患。正是上述失誤,讓整個企業(yè)的人力資源、金融與財富管理傳輸系統(tǒng)以及其它各類敏感信息通通暴露在攻擊者面前。

細微的失誤往往會導致極大的安全隱患。有時候一些未知或是容易被忽視的細微失誤最終導致機構在攻擊行為面前城門大開:服務器配置中的hash標示缺失、某個長期被遺忘的PBX用戶賬戶或者是辦公室打印機中的嵌入式Web服務都在此列。

其實我們的制約機制不能說不完善,來自規(guī)范的壓力、日益增長的惡意軟件戒備心以及對成為頭號數(shù)據(jù)侵犯受害者的恐懼,這一切似乎都使企業(yè)不可能不注意到自身底層設備的潛在問題或是細微的配置錯誤。

但即便如此,當壞人以某個不起眼的薄弱環(huán)節(jié)為目標而磨刀霍霍——例如那些由于年深日久、很少用到而沒有加裝最新安全補丁的臺式機--無知不能成為我們逃避責任的借口。攻擊者只要抓住一個漏洞,即可獲得在某個機構中立足的平臺,進而竊取敏感數(shù)據(jù)或是組織長期計算機諜報工作。

意識到威脅的嚴重性了?亡羊補牢,未為晚矣。讓我們看看企業(yè)常犯的一些細微但可能引發(fā)重大危險的錯誤,并在它們真的困擾大家之前將其扼殺在萌芽狀態(tài)。

1.SSL服務器配置不當

近來似乎已經(jīng)無法擺脫固有安全性薄弱的壞名聲。但是,大多數(shù)SSL服務器的問題其實主要出自配置不正確,比如甚至連會話加密的功能都沒用到。實際上只有大約五分之一的SSL網(wǎng)站為SSL進行了重寫定向以保障驗證機制的作用,而大約70%的SSL服務器處理驗證的方式仍然是純文本登錄。尤其值得一提的是,半數(shù)以上采用的是純文本密碼提交。

以上結論來自SSL實驗室所出具的一份全球性SSL調查報告,同時也是Qualys的社區(qū)項目。但其內容仍不全面:目前攻擊者們完全可以在無需僵尸網(wǎng)絡輔助的前提下進行SSL服務器拒絕服務攻擊。本周一款新的黑客工具正式發(fā)布。有了它,攻擊者們能夠從一臺筆記本或其它計算機上利用SSL重議功能實現(xiàn)面向SSL服務器的DoS攻擊。

那些糊里糊涂將SSL重議功能設為啟用的機構在這種攻擊面前可謂"人為刀俎,我為魚肉",而該攻擊也以THC-SSL-DOS工具的名頭日趨流行。安全專家聲稱,Web服務器上的SSL重議功能其實沒什么實際用處,因此建議大家一律加以禁用就對了。

但nCircle公司安全研究及開發(fā)部門經(jīng)理Tyler Reguly卻認為,單純禁用是種被動的對策,目前仍然沒有一套能夠抵御攻擊的實際解決方案。因為"這就是該協(xié)議自身的工作方式,"他評論道。

Reguly指出,此類DoS攻擊是SSL機制崩壞的又一明證。"我們需要一套更好的機制,"他說。

2.忽略某個具備高權限卻極少使用的賬戶

許多機構都沒有鎖定某些能夠直接登錄的管理賬戶,這使得攻擊者有機可乘。但除此之外,還有不少被忽略掉或是很少使用的高權限賬戶,它們的存在本身就是安全機制的重大隱患。

一家素以高安全保障機制與管理員賬戶保護得力著稱的財富五百強金融服務公司,近來就被一個長期丟在某臺西門子Rolm程控交換機中落灰的區(qū)域管理員賬戶弄得狼狽不堪:這個權限極高的賬戶是被Trustwave SpiderLabs發(fā)現(xiàn)并被用于進行參透測試。小小的疏忽如今卻成為攻克企業(yè)網(wǎng)絡那森嚴戒備的一枚穿甲彈。他們使用該賬戶建立克隆的服務臺語音信箱,并在求助者來電咨詢時通過社交手段獲取對應的驗證信息。假冒IT服務臺工程師的Havelt很輕松就得到了一個VPN用戶的用戶名及雙要素驗證令牌的密碼,進而完成了VPN連接的長效化工作。

正是上述失誤,讓整個企業(yè)的人力資源、金融與財富管理傳輸系統(tǒng)以及其它各類敏感信息通通暴露在攻擊者面前。

"事情的起因細微且易被忽視,但一旦威脅出現(xiàn),事態(tài)就會像滾雪球那樣一發(fā)而不可收拾,"Rob Havelt說道。他是Trustwave SpiderLabs的滲透測試部門主管,主要負責為公司的金融服務類客戶提供測試服務。"起因往往是這樣:萬年不變的主題,某個默認賬戶連帶默認密碼被遺忘在某處。看起來沒什么大不了的,但它迅速擴大……只要我們隨便給別人某個級別的訪問權限,他們總會發(fā)現(xiàn)其中的漏洞。"Havelt建議稱,各機構應該審核所有設備,甚至是像PBX這樣的遺留系統(tǒng)。"務必確保密碼策略的正確執(zhí)行,"他說道。在前面提到的金融服務公司案例中,PBX系統(tǒng)"歸屬于"電話溝通部門而非IT部門,這就形成了一個安全方面的斷層。"在理想狀態(tài)下,大家需要為任何能夠接入(網(wǎng)絡)的事物配備相關負責人,"他補充道。

3.誤以為自己的VPN流量始終是安全的

只是某位用戶從酒店網(wǎng)絡連接到企業(yè)VPN上,這就要跟遠程安全性扯上關系,有點危言聳聽了吧?事實上,想當然地認為員工通過遠程方式接入VPN的流量并不危險是"一種極其嚴重的錯誤",Nimmy Reichenberg表示。他是AlgoSec公司市場與商務開發(fā)部門的副總裁。

"通過酒店網(wǎng)絡進行工作,其中不免摻雜大量可能趁虛而入的惡意軟件,并且其中很多都無法被終端的殺毒軟件檢測到。那么一旦這些東西獲得進入許可,企業(yè)網(wǎng)絡就準備好面對惡意軟件的肆虐吧,"他解釋道。"盡管不少員工經(jīng)常在外地或是家中以遠程方式連接到VPN,但他們很可能不具備(行之有效的)安全控制手段。"

因此盡管VPN會話在理論上經(jīng)過了驗證及加密,但已經(jīng)受到感染的用戶計算機仍然足以給企業(yè)網(wǎng)絡帶入惡意軟件。如果用戶計算機受到的是bot感染,那么僵尸網(wǎng)絡也同樣會侵入內部網(wǎng)絡,Reichenberg如是說。

關鍵是要通過檢查,首先阻止來自隔離區(qū)VPN流量,他指出。"大多數(shù)企業(yè)對此并不重視,"他接著說。"他們只檢查來自不受信任的外部來源的流量,但如果流量通過VPN進入,則往往不被視為安全威脅。"

這種狀況可以通過合理的防火墻策略加以解決,他建議道。

"很多人相信通過VPN的流量是安全的,但我們認為事實并非如此,"他補充說。

4.對嵌入式系統(tǒng)的無知

復印機、掃描儀以及VoIP電話中所包含的嵌入式Web服務器通常都存在一定的安全問題或是配置錯誤,因此當它們被安裝被投入使用時,這些問題就會轉化成潛在的威脅。"事實上這些設備都不應該被接入互聯(lián)網(wǎng)。我實在想不出一臺惠普的掃描儀有什么必要連網(wǎng),"Michael Sutton評論道,他是Zscaler實驗室安全研究部門副總裁,并于今年夏季將自己的調查成果在黑帽大會上與大家進行了分享。

Sutton發(fā)現(xiàn),理光與夏普的復印機、惠普掃描儀以及Snom VoIP手機通常都能夠從互聯(lián)網(wǎng)上直接加以訪問。而且這些設備往往歸企業(yè)所在,而且整個機構壓根不知道它們處于可在線查看的狀態(tài)。

數(shù)字檔案的影印本可能會被攻擊者獲取,而他們同樣能夠通過數(shù)據(jù)包捕獲功能對嵌入式VoIP系統(tǒng)進行竊聽。"如果(VoIP系統(tǒng))處于可訪問狀態(tài),我們自然就可以登錄、開啟、捕捉流量并且下載PCAP等等。而借助Wireshark,我們還能夠對目標機構加以監(jiān)聽,"Sutton解釋道。

關鍵是要在攻擊者得逞之前發(fā)現(xiàn)這些存在漏洞的設備。Sutton打造了一款名為BREWS的免費工具,用于自動執(zhí)行此類檢測。

其它類型的網(wǎng)絡設備中也有不少錯誤配置,同樣可能讓對此毫不知情的客戶們陷入安全風險。根據(jù)HD Moore去年公布的研究結果,他發(fā)現(xiàn)有數(shù)以百計的DSL集線器、SCADA(即監(jiān)測控制與數(shù)據(jù)采集)系統(tǒng)、VoIP設備以及交換機中存在用于VxWorks系統(tǒng)的診斷服務功能。這是一種完全不應該在生產模式下被啟用的功能,Moore(他是Rapid 7首席安全官,同時也是Metasploit的總設計師)警告說,因為它會允許外界訪問并讀取或寫入設備內存及電源周期體系中的信息。

類似的問題同樣見于如今配備了GSM或蜂窩接入裝置的客戶設備。iSec Partner公司安全顧問Don Bailey認為,GPS跟蹤設備、汽車報警器甚至是SCADA系統(tǒng)傳感器很容易受到來自網(wǎng)絡的攻擊。一旦攻擊者在網(wǎng)絡上搜索到此類設備,他們就有機會加以利用。

Bailey曾成功地侵入了一套當下流行的汽車防盜系統(tǒng),并通過向其發(fā)送文本消息的方式遠程啟動了該車輛。而盜用SCADA傳器器所帶來的危害使人更加不寒而慄。

5.源代碼或配置文件中的字符錯誤

Apache Web服務器(或其它Web平臺)中缺失的正斜杠符號可能會讓攻擊者有機會侵入數(shù)據(jù)庫、防火墻、路由器以及其它內部網(wǎng)絡設備。最近在Apache服務器上出現(xiàn)的反向代理旁路攻擊展示了配置文件中的單個字符如何造就或是摧毀整套安全體系。

來自Context信息安全公司的研究及開發(fā)部門經(jīng)理Michael Jordon發(fā)現(xiàn)了這個問題,并聲稱這更是一種用戶并不了解的錯誤配置現(xiàn)象:正斜杠在Apache Web代理中將激活"重寫規(guī)則"。

"這是一個典型的案例,功能就擺在那里但人們卻并不知情,也不了解這屬于一種錯誤配置,"Jordon指出。

Apache在本月早些時候發(fā)布了針對這一問題的補丁,但Jordon認為這個問題很可能還在影響著其它Web平臺。"補丁只能減少此類錯誤配置出現(xiàn)的可能性,"他解釋道。

"任何其它重寫URL的反向代理也許還面臨著同樣的問題。我們已經(jīng)與其它Web服務器供應商取得了聯(lián)系并向他們知會了此事,"他說道。

6.明顯但卻仍然普遍存在的問題:非常用系統(tǒng)補丁更新不及時

及時為系統(tǒng)打上補丁不僅是的種良好的使用范例,同時也應該被視作強制性原則,但這并不意味著所有機構都能及時、準確將其實施妥當,尤其是對于某些看似風險較低的系統(tǒng)更是如此。

就拿美國能源部來說吧,他們本周就榮幸地成為補丁更新的反面教材。根據(jù)美國能源部監(jiān)察辦公室的說法,能源部中有十五個不同的分支機構被發(fā)現(xiàn)仍在使用未實施已知漏洞補丁更新的桌面系統(tǒng)、網(wǎng)絡系統(tǒng)以及運行應用程序的網(wǎng)絡設備。正在運行操作系統(tǒng)或應用程序的桌面系統(tǒng)中,有46%沒有安裝最新補丁,監(jiān)察主管在報告中稱。

"這些應用程序中那些已知漏洞并沒有及時被對應的補丁所修復,而事實上在我們著手測試的三個月之前這些補丁就已經(jīng)提供下載了,"報告(PDF格式)中寫道。

但聯(lián)邦機構絕不是惟一疏于更新補丁的家伙:許多機構都在控制并處理自身運行環(huán)境的漏洞方面煞費苦心。來自Secunia的一份最新研究結果建議,企業(yè)只要能將嚴重性漏洞補丁的部署放在第一位,而不是過分關心哪些應用程序比較流行,他們就能獲得安全方面的大幅度提升。

eEye數(shù)字安全公司CTO兼聯(lián)合創(chuàng)始人Marc Maiffret指出,歸根結底是由于大家對自己不了解的信息沒有概念。"企業(yè)……沒有這樣的洞察力,因此他們不知道如何應對自身環(huán)境中所存在的缺陷?;蛘咚麄儾恢廊绾沃诌M行,因此只能選擇放棄。"Maiffret分析道。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號