【安全讲堂】企业安全规程中的三大错误
作者:星期一, 十二月 29, 20142

Keyboard with underpass and ladder uder Enter key

许多缺乏安全基础的企业在IT安全规程中会犯下许多错误,以下三个为最常见的错误。这些最常见错误的不仅修复起来相对简单、直观、容易,而且成本低、见效大。

一、缺乏对出口过滤的关注

太多的企业将他们IT安全的时间和资源集中在入口过滤,旨在确保内部网络无法受到来自互联网的访问和攻击。入口过滤固然重要,但是许多组织都是通过出口过滤被攻破的。

出口过滤如此重要是因为:一、阻止不良员工通过内部网络删除数据是数据泄露防护系统(DLP)的必要部分;二、出口过滤可以阻止机器人和恶意软件连接至其控制服务器。

第二点尤其值得注意。大多数的渗透测试都包含社会工程部分,测试的目标就是在组织内部员工的个人电脑上植入恶意软件。这样恶意软件就可以连接网络并回传服务器,允许渗透试验器通过内部网络控制个人电脑和枢纽。当然黑帽子黑客就是这么干的。

拥有很强出口过滤的网络就可以免受这样的攻击。它不允许向外的连接,使得这样的软件几乎没有用武之地。所以强烈建议各组织投入资源过滤出站网络连接,通过一系列的场景测试,看连接是否可以出站。

二、忽略本地管理密码

如果你问大多数的组织关于密码复用的问题,他们可能会告诉你,他们不进行密码复用。事实上,许多组织现在都有一套完善的密码策略机制。然而,对于本地管理员密码这样一个重要的领域,却常常被忽略。所以,经常会看到个人电脑本地管理员密码和服务器本地管理员密码是相同的,甚至连域控制器都使用相同的密码。

问题是,攻击者可以获取个人电脑的访问权限,通过USB驱动器对其进行引导,使用社交工程攻击进行哈希抓取,或者是恶意软件自身利用,通过多种途径进行接入。他们获得的密码不是可读格式而是哈希散列格式。有些人可能会说,除非有最大的彩虹表,否则我的密码哈希是无法破解的!而事实上,攻击者根本不需要进行哈希破解。因为你的密码都是相同的,他们只需要使用工具记下哈希密码,然后在不同的系统进行复用即可。

这样,攻击者有了本地管理员哈希密码这样一个武器,就可以应用到域控制器上,但还不能进入域管理员帐户。于是他们可以尝试本地管理员帐户,因为经常使用同样的密码。甚至本地管理员密码可以在服务器上和其他包括那些属于IT人员和拥有各种各样重要信息的电脑上使用。

所以强烈建议,确保IT安全规程解决方案的实施以避免这样的情况出现,并运行特别设计的测试以确保其不会发生。

三、系统不打补丁

大多数公司如今似乎都在使用某种形式的补丁管理规程,这已经是司空见惯的事了,然而,还是要看一看有没有某一两个系统遗漏了最新的补丁。大多数渗透测试人员还在疑惑为什么很多微软系统还没有打上MS08-067号补丁,该补丁可是早在2008年就发布了。

攻击者只需在网络中稍有缝隙就可以造成重大伤害。只要一个系统为其打开,许多的门都将为其敞开。比如,他们可以抓取本地密码哈希并进行复用(见上面第二点),也可以查看用户最近登录到系统的密码缓存(如技术支持人员、管理人员等),使用各种技术嗅探网络,寻找有用的信息以扩大攻击等等。

建议企业将常规的漏洞扫描作为补丁管理规程的一部分,以确保所有系统都得到完全的修补,保证其正常工作。

以上三点虽然不是IT完全规程中需要修复的全部错误,但却值得立即关注。处理好这三个问题将为网络和数据提供更大程度的安全保证。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章