企业信息安全要务 扼杀安全隐患

　　细微的失误往往会导致极大的安全隐患

　　有时候一些未知或是容易被忽视的细微失误最终导致机构在攻击行为面前城门大开：服务器配置中的hash标示缺失、某个长期被遗忘的PBX用户账户或者是办公室打印机中的嵌入式Web服务都在此列。

　　其实我们的制约机制不能说不完善，来自规范的压力、日益增长的恶意软件戒备心以及对成为头号数据侵犯受害者的恐惧，这一切似乎都使企业不可能不注意到自身底层设备的潜在问题或是细微的配置错误。

　　但即便如此，当坏人以某个不起眼的薄弱环节为目标而磨刀霍霍——例如那些由于年深日久、很少用到而没有加装最新安全补丁的台式机——无知不能成为我们逃避责任的借口。攻击者只要抓住一个漏洞，即可获得在某个机构中立足的平台，进而窃取敏感数据或是组织长期计算机谍报工作。

　　意识到威胁的严重性了？亡羊补牢，未为晚矣。让我们看看企业常犯的一些细微但可能引发重大危险的错误，并在它们真的困扰大家之前将其扼杀在萌芽状态。

　　1. SSL服务器配置不当

　　近来似乎已经无法摆脱固有安全性薄弱的坏名声。但是，大多数SSL服务器的问题其实主要出自配置不正确，比如甚至连会话加密的功能都没用到。实际上只有大约五分之一的SSL网站为SSL进行了重写定向以保障验证机制的作用，而大约70%的SSL服务器处理验证的方式仍然是纯文本登录。尤其值得一提的是，半数以上采用的是纯文本密码提交。

　　以上结论来自SSL实验室所出具的一份全球性SSL调查报告，同时也是Qualys的社区项目。但其内容仍不全面：目前攻击者们完全可以在无需僵尸网络辅助的前提下进行SSL服务器拒绝服务攻击。本周一款新的黑客工具正式发布。有了它，攻击者们能够从一台笔记本或其它计算机上利用SSL重议功能实现面向SSL服务器的DoS攻击。

　　那些糊里糊涂将SSL重议功能设为启用的机构在这种攻击面前可谓“人为刀俎，我为鱼肉”，而该攻击也以THC-SSL-DOS工具的名头日趋流行。安全专家声称，Web服务器上的SSL重议功能其实没什么实际用处，因此建议大家一律加以禁用就对了。

　　但nCircle公司安全研究及开发部门经理Tyler Reguly却认为，单纯禁用是种被动的对策，目前仍然没有一套能够抵御攻击的实际解决方案。因为“这就是该协议自身的工作方式，”他评论道。Reguly指出，此类DoS攻击是SSL机制崩坏的又一明证。“我们需要一套更好的机制，”他说。

　　2. 忽略某个具备高权限却极少使用的账户

　　许多机构都没有锁定某些能够直接登录的管理账户，这使得攻击者有机可乘。但除此之外，还有不少被忽略掉或是很少使用的高权限账户，它们的存在本身就是安全机制的重大隐患。

　　一家素以高安全保障机制与管理员账户保护得力著称的财富五百强金融服务公司，近来就被一个长期丢在某台西门子Rolm程控交换机中落灰的区域管理员账户弄得狼狈不堪：这个权限极高的账户是被Trustwave SpiderLabs发现并被用于进行参透测试。小小的疏忽如今却成为攻克企业网络那森严戒备的一枚穿甲弹。他们使用该账户建立克隆的服务台语音信箱，并在求助者来电咨询时通过社交手段获取对应的验证信息。假冒IT服务台工程师的Havelt很轻松就得到了一个VPN用户的用户名及双要素验证令牌的密码，进而完成了VPN连接的长效化工作。

　　正是上述失误，让整个企业的人力资源、金融与财富管理传输系统以及其它各类敏感信息通通暴露在攻击者面前。

　　“事情的起因细微且易被忽视，但一旦威胁出现，事态就会像滚雪球那样一发而不可收拾，”Rob Havelt说道。他是Trustwave SpiderLabs的渗透测试部门主管，主要负责为公司的金融服务类客户提供测试服务。“起因往往是这样：万年不变的主题，某个默认账户连带默认密码被遗忘在某处。看起来没什么大不了的，但它迅速扩大……只要我们随便给别人某个级别的访问权限，他们总会发现其中的漏洞。”Havelt建议称，各机构应该审核所有设备，甚至是像PBX这样的遗留系统。“务必确保密码策略的正确执行，”他说道。在前面提到的金融服务公司案例中，PBX系统“归属于”电话沟通部门而非IT部门，这就形成了一个安全方面的断层。“在理想状态下，大家需要为任何能够接入（网络）的事物配备相关负责人，”他补充道。

　　3. 误以为自己的VPN流量始终是安全的

　　只是某位用户从酒店网络连接到企业VPN上，这就要跟远程安全性扯上关系，有点危言耸听了吧？事实上，想当然地认为员工通过远程方式接入VPN的流量并不危险是“一种极其严重的错误”，Nimmy Reichenberg表示。他是AlgoSec公司市场与商务开发部门的副总裁。

　　“通过酒店网络进行工作，其中不免掺杂大量可能趁虚而入的恶意软件，并且其中很多都无法被终端的杀毒软件检测到。那么一旦这些东西获得进入许可，企业网络就准备好面对恶意软件的肆虐吧，”他解释道。“尽管不少员工经常在外地或是家中以远程方式连接到VPN，但他们很可能不具备（行之有效的）安全控制手段。”

　　因此尽管VPN会话在理论上经过了验证及加密，但已经受到感染的用户计算机仍然足以给企业网络带入恶意软件。如果用户计算机受到的是bot感染，那么僵尸网络也同样会侵入内部网络，Reichenberg如是说。

　　关键是要通过检查，首先阻止来自隔离区VPN流量，他指出。“大多数企业对此并不重视，”他接着说。“他们只检查来自不受信任的外部来源的流量，但如果流量通过VPN进入，则往往不被视为安全威胁。”

　　这种状况可以通过合理的防火墙策略加以解决，他建议道。

　　“很多人相信通过VPN的流量是安全的，但我们认为事实并非如此，”他补充说。