泰坦尼克號(hào)曾被稱為永不沉沒的船，但精湛的工程技術(shù)還是敵不過突如其來的冰山。對(duì)于每一個(gè)整年都沒有任何意外事故發(fā)生的大公司而言，經(jīng)常會(huì)發(fā)生危險(xiǎn)的“破門而入”、無線網(wǎng)絡(luò)嗅探以及藍(lán)牙狙擊槍被用來竊取公司的秘密。本文我們將探討六個(gè)經(jīng)常被企業(yè)忽略的安全漏洞，甚至對(duì)于那些為自己部署的安全措施感到自豪的大公司。

1.無線網(wǎng)絡(luò)中的未經(jīng)授權(quán)智能手機(jī)

智能手機(jī)給企業(yè)安全帶來了巨大的安全風(fēng)險(xiǎn)，主要是因?yàn)橹悄苁謾C(jī)非常普遍，有些員工會(huì)在辦公室使用個(gè)人設(shè)備，即使他們的雇主部署了有效的政策來禁止他們的使用，

“危險(xiǎn)之處在于智能手機(jī)是可以進(jìn)行三種連接的設(shè)備，藍(lán)牙、無線和GSM無線，”互聯(lián)網(wǎng)昂咨詢公司SecTheory創(chuàng)始人Robert Hansen表示。在辦公室使用他們的智能手機(jī)的員工讓公司網(wǎng)絡(luò)增加了潛在的攻擊點(diǎn)。

如果你使用像智能手機(jī)一樣跨越多個(gè)無線頻譜的設(shè)備，“攻擊者可能使用藍(lán)牙狙擊槍從一英里外讀取藍(lán)牙信息，”Hansen表示。藍(lán)牙是讓攻擊者訪問無線網(wǎng)絡(luò)然后攻擊企業(yè)網(wǎng)絡(luò)的開放端口。

Hansen表示，簡單禁止智能手機(jī)的政策不可能有效，員工總是禁不住誘惑地在辦公室使用他們的設(shè)備，即使這是被禁止的。IT部門應(yīng)該只允許被批準(zhǔn)的設(shè)備接入網(wǎng)絡(luò)，并且這種訪問應(yīng)該是基于MAC地址的，該地址是與特定設(shè)備關(guān)聯(lián)的獨(dú)特代碼，這樣就可以追蹤這些設(shè)備。

利用網(wǎng)絡(luò)訪問控制是確保阻止未經(jīng)授權(quán)訪問發(fā)生的另一個(gè)技巧。在一個(gè)理想世界中，企業(yè)都應(yīng)該將客戶接入無線網(wǎng)絡(luò)與重要的企業(yè)網(wǎng)絡(luò)分開，即使有兩個(gè)無線局域網(wǎng)絡(luò)意味著更多的冗余和管理開支。

另一個(gè)方法：提供強(qiáng)大的公司認(rèn)可的智能手機(jī)，例如谷歌的Android，同時(shí)阻止員工使用不被支持的設(shè)備。通過鼓勵(lì)使用被批準(zhǔn)的手機(jī)，IT部門可以集中在為單一平臺(tái)設(shè)備部署安全措施，而不必處理眾多品牌和平臺(tái)。

2.打開網(wǎng)絡(luò)打印機(jī)的端口

辦公室打印機(jī)是另一個(gè)看似無害而實(shí)則帶來安全風(fēng)險(xiǎn)的設(shè)備，大多數(shù)公司都忽略了這種危害。在過去幾年，打印機(jī)已經(jīng)可以通過無線網(wǎng)絡(luò)連接，有些甚至使用3G連接和電話線來傳真。有些模式確實(shí)可以阻止打印機(jī)的某些端口，但是正如Hansen所說，如果在一家大型公司，打印機(jī)有200個(gè)阻止端口，那么可能會(huì)有另外1000個(gè)端口是開放的。攻擊者可以通過這些端口侵入企業(yè)網(wǎng)絡(luò)，更惡毒的伎倆就是捕捉所有打印信息以獲取機(jī)密信息。

安全專家Jay Valentine表示，“你還沒有聽說過這個(gè)問題的原因之一在于目前還沒有有效的方法來關(guān)閉這些端口。”

處理這個(gè)問題的最好方法就是禁用打印機(jī)上的所有無線選項(xiàng)。如果這不可行的話，IT部門需要確保所有端口都阻止了任何未經(jīng)授權(quán)訪問，同樣重要的是，使用安全管理工具來檢測和報(bào)告這些開放打印機(jī)端口。

3.包含問題代碼的定制開發(fā)的web應(yīng)用程序

幾乎每個(gè)企業(yè)安全專家都很害怕由于編程中的粗心大意而導(dǎo)致的漏洞。 這可能發(fā)生在定制開發(fā)軟件以及行業(yè)軟件和開源軟件。Hansen表示，常見的巴西就是利用服務(wù)器上的xp_cmdshell例程，通常沒有經(jīng)驗(yàn)的程序員或者系統(tǒng)管理員可能會(huì)無意為攻擊者敞開大門。這樣做攻擊者可以獲取到數(shù)據(jù)庫的完全訪問權(quán)限，提供訪問數(shù)據(jù)的入口和進(jìn)入網(wǎng)絡(luò)的后門。

相關(guān)內(nèi)容

Hansen表示，web服務(wù)器上的PHP程序也可能輔助攻擊者攻入網(wǎng)絡(luò)。編碼錯(cuò)誤(例如當(dāng)從應(yīng)用程序調(diào)用遠(yuǎn)程文件時(shí)的不適當(dāng)保護(hù)措施)可以讓黑客添加他們自己的嵌入式代碼。這確實(shí)有可能會(huì)發(fā)生，如果開發(fā)人員沒有謹(jǐn)慎處理哪些文件可以基于用戶的輸入而被調(diào)用或者企業(yè)博客使用引用功能來報(bào)告鏈接回發(fā)布內(nèi)容，而沒有先消毒保存的URL以防止未經(jīng)授權(quán)的數(shù)據(jù)庫查詢。

最明顯的解決方法就是避免使用諸如免費(fèi)提供的PHP腳本軟件、博客插件或者其他可疑的代碼。如果確實(shí)需要使用這些軟件，可以部署安全監(jiān)測工具來檢測漏洞。

4. 社交網(wǎng)絡(luò)欺騙

Facebook和Twitter用戶可能被愚弄至泄漏個(gè)人敏感信息，通常這種類型的攻擊都很狡詐，很難被追查。

“找工作的人們通常會(huì)原因透露個(gè)人信息，”Hansen表示，他的一個(gè)客戶曾告訴他攻擊者如何利用從招聘網(wǎng)站得到的虛假的電子郵件地址來冒充招聘人員，從而獲取他的個(gè)人信息。

5.員工下載非法電影和音樂

P2P網(wǎng)絡(luò)仍然很盛行。在一家大型公司，員工使用P2P系統(tǒng)下載非法內(nèi)容或者建立自己的服務(wù)器來發(fā)布軟件并不罕見。

“根據(jù)企業(yè)政策，P2P網(wǎng)絡(luò)應(yīng)該完全被阻止，”安全培訓(xùn)公司Security Awareness公司首席執(zhí)行官Winn Schwartau表示，“P2P端口完全被關(guān)閉，在所有企業(yè)端口，P2P程序可以通過黑白名單來被阻止，以及通過企業(yè)服務(wù)器進(jìn)行過濾。”

“向P2P文件注入惡意代碼并不是難事，并且可能讓企業(yè)陷入困境，根據(jù)代碼涉及的不同，”他建議采用“資源隔離”的方法，從根本上控制哪些應(yīng)用程序用戶被允許訪問。不同的操作系統(tǒng)處理方法也略有不同，但在企業(yè)政策無法有效執(zhí)行的情況下，這種方法確實(shí)可以嘗試。

Schwartau建議IT部門定期對(duì)所有企業(yè)網(wǎng)絡(luò)和服務(wù)器進(jìn)行整頓，查找P2P活動(dòng)，并且阻止所有P2P活動(dòng)。

6.即時(shí)通訊消息欺騙和惡意軟件感染

另外一個(gè)潛在攻擊介質(zhì)：智能手機(jī)的即時(shí)通訊消息。攻擊者可以使用短信來聯(lián)系員工試圖讓他們泄露關(guān)鍵信息，例如網(wǎng)絡(luò)登錄憑證和商業(yè)情報(bào)，他們也可以使用短信在手機(jī)上安裝惡意軟件。

“我們?cè)��?jīng)見識(shí)過rootkit如何在持有者不知道的情況下打開電話的麥克風(fēng)，”Schwartau表示，“攻擊者可以發(fā)送不可見的文本信息到被感染的手機(jī)讓它進(jìn)行呼叫并打開麥克風(fēng)。”當(dāng)用戶在開會(huì)或者攻擊者想要偷聽時(shí)，這種伎倆將會(huì)很有效。

Schwartau表示有很多方法可以過濾短信活動(dòng)，但這通常都是通過無線運(yùn)營商進(jìn)行的，由于短信不是基于IP的，因此這通常都是不受企業(yè)管理員控制的。阻止這種攻擊的最佳辦法就是與運(yùn)營商合作以確保他們使用惡意攔截軟件、短信過濾器以及重定向這種類型的攻擊。

另外，創(chuàng)建智能手機(jī)使用政策，鼓勵(lì)或者要求使用公司認(rèn)可或者公司提供的手機(jī)和服務(wù)計(jì)劃能夠減少這種風(fēng)險(xiǎn)。

當(dāng)然，依靠現(xiàn)有技術(shù)，公司不可能阻止所有這些潛在的安全攻擊，并且攻擊者也不斷地在轉(zhuǎn)變攻擊策略。企業(yè)應(yīng)該嘗試堵住這六個(gè)安全漏洞，同時(shí)也應(yīng)該留意最新形式的惡意活動(dòng)。

標(biāo)簽： web服務(wù)器 安全 代碼 電子郵件 服務(wù)器 谷歌 互聯(lián)網(wǎng) 機(jī) 腳本 漏洞 權(quán)限 數(shù)據(jù) 數(shù)據(jù)庫 網(wǎng)絡(luò)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。