企业常犯的六大致命性安全失误

细微的失误往往会导致极大的安全隐患。有时候一些未知或是容易被忽视的细微失误最终导致机构在攻击行为面前城门大开:服务器配置中的hash标示缺失、某个长期被遗忘的PBX用户账户或者是办公室打印机中的嵌入式Web服务都在此列。

其实我们的制约机制不能说不完善,来自规范的压力、日益增长的恶意软件戒备心以及对成为头号数据侵犯受害者的恐惧,这一切似乎都使企业不可能不注意到自身底层设备的潜在问题或是细微的配置错误。

但即便如此,当坏人以某个不起眼的薄弱环节为目标而磨刀霍霍——例如那些由于年深日久、很少用到而没有加装最新安全补丁的台式机–无知不能成为我们逃避责任的借口。攻击者只要抓住一个漏洞,即可获得在某个机构中立足的平台,进而窃取敏感数据或是组织长期计算机谍报工作。

意识到威胁的严重性了?亡羊补牢,未为晚矣。让我们看看企业常犯的一些细微但可能引发重大危险的错误,并在它们真的困扰大家之前将其扼杀在萌芽状态。

1.SSL服务器配置不当

近来似乎已经无法摆脱固有安全性薄弱的坏名声。但是,大多数SSL服务器的问题其实主要出自配置不正确,比如甚至连会话加密的功能都没用到。实际上只有大约五分之一的SSL网站为SSL进行了重写定向以保障验证机制的作用,而大约70%的SSL服务器处理验证的方式仍然是纯文本登录。尤其值得一提的是,半数以上采用的是纯文本密码提交。

以上结论来自SSL实验室所出具的一份全球性SSL调查报告,同时也是Qualys的社区项目。但其内容仍不全面:目前攻击者们完全可以在无需僵尸网络辅助的前提下进行SSL服务器拒绝服务攻击。本周一款新的黑客工具正式发布。有了它,攻击者们能够从一台笔记本或其它计算机上利用SSL重议功能实现面向SSL服务器的DoS攻击。

那些糊里糊涂将SSL重议功能设为启用的机构在这种攻击面前可谓"人为刀俎,我为鱼肉",而该攻击也以THC-SSL-DOS工具的名头日趋流行。安全专家声称,Web服务器上的SSL重议功能其实没什么实际用处,因此建议大家一律加以禁用就对了。

但nCircle公司安全研究及开发部门经理Tyler Reguly却认为,单纯禁用是种被动的对策,目前仍然没有一套能够抵御攻击的实际解决方案。因为"这就是该协议自身的工作方式,"他评论道。

Reguly指出,此类DoS攻击是SSL机制崩坏的又一明证。"我们需要一套更好的机制,"他说。

2.忽略某个具备高权限却极少使用的账户

许多机构都没有锁定某些能够直接登录的管理账户,这使得攻击者有机可乘。但除此之外,还有不少被忽略掉或是很少使用的高权限账户,它们的存在本身就是安全机制的重大隐患。

一家素以高安全保障机制与管理员账户保护得力著称的财富五百强金融服务公司,近来就被一个长期丢在某台西门子Rolm程控交换机中落灰的区域管理员账户弄得狼狈不堪:这个权限极高的账户是被Trustwave SpiderLabs发现并被用于进行参透测试。小小的疏忽如今却成为攻克企业网络那森严戒备的一枚穿甲弹。他们使用该账户建立克隆的服务台语音信箱,并在求助者来电咨询时通过社交手段获取对应的验证信息。假冒IT服务台工程师的Havelt很轻松就得到了一个VPN用户的用户名及双要素验证令牌的密码,进而完成了VPN连接的长效化工作。

正是上述失误,让整个企业的人力资源、金融与财富管理传输系统以及其它各类敏感信息通通暴露在攻击者面前。

" 事情的起因细微且易被忽视,但一旦威胁出现,事态就会像滚雪球那样一发而不可收拾,"Rob Havelt说道。他是Trustwave SpiderLabs的渗透测试部门主管,主要负责为公司的金融服务类客户提供测试服务。"起因往往是这样:万年不变的主题,某个默认账户连带默认密码被遗忘在某处。看起来没什么大不了的,但它迅速扩大……只要我们随便给别人某个级别的访问权限,他们总会发现其中的漏洞。"Havelt建议称,各机构应该审核所有设备,甚至是像PBX这样的遗留系统。"务必确保密码策略的正确执行,"他说道。在前面提到的金融服务公司案例中,PBX系统"归属于"电话沟通部门而非IT部门,这就形成了一个安全方面的断层。"在理想状态下,大家需要为任何能够接入(网络)的事物配备相关负责人,"他补充道。

3.误以为自己的VPN流量始终是安全的

只是某位用户从酒店网络连接到企业VPN上,这就要跟远程安全性扯上关系,有点危言耸听了吧?事实上,想当然地认为员工通过远程方式接入VPN的流量并不危险是"一种极其严重的错误",Nimmy Reichenberg表示。他是AlgoSec公司市场与商务开发部门的副总裁。

"通过酒店网络进行工作,其中不免掺杂大量可能趁虚而入的恶意软件,并且其中很多都无法被终端的杀毒软件检测到。那么一旦这些东西获得进入许可,企业网络就准备好面对恶意软件的肆虐吧,"他解释道。"尽管不少员工经常在外地或是家中以远程方式连接到VPN,但他们很可能不具备(行之有效的)安全控制手段。"

因此尽管VPN会话在理论上经过了验证及加密,但已经受到感染的用户计算机仍然足以给企业网络带入恶意软件。如果用户计算机受到的是bot感染,那么僵尸网络也同样会侵入内部网络,Reichenberg如是说。

关键是要通过检查,首先阻止来自隔离区VPN流量,他指出。"大多数企业对此并不重视,"他接着说。"他们只检查来自不受信任的外部来源的流量,但如果流量通过VPN进入,则往往不被视为安全威胁。"

这种状况可以通过合理的防火墙策略加以解决,他建议道。

"很多人相信通过VPN的流量是安全的,但我们认为事实并非如此,"他补充说。

4.对嵌入式系统的无知

复印机、扫描仪以及VoIP电话中所包含的嵌入式Web服务器通常都存在一定的安全问题或是配置错误,因此当它们被安装被投入使用时,这些问题就会转化成潜在的威胁。"事实上这些设备都不应该被接入互联网。我实在想不出一台惠普的扫描仪有什么必要连网,"Michael Sutton评论道,他是Zscaler实验室安全研究部门副总裁,并于今年夏季将自己的调查成果在黑帽大会上与大家进行了分享。

Sutton发现,理光与夏普的复印机、惠普扫描仪以及Snom VoIP手机通常都能够从互联网上直接加以访问。而且这些设备往往归企业所在,而且整个机构压根不知道它们处于可在线查看的状态。

数字档案的影印本可能会被攻击者获取,而他们同样能够通过数据包捕获功能对嵌入式VoIP系统进行窃听。"如果(VoIP系统)处于可访问状态,我们自然就可以登录、开启、捕捉流量并且下载PCAP等等。而借助Wireshark,我们还能够对目标机构加以监听,"Sutton解释道。

关键是要在攻击者得逞之前发现这些存在漏洞的设备。

其它类型的网络设备中也有不少错误配置,同样可能让对此毫不知情的客户们陷入安全风险。根据HD Moore去年公布的研究结果,他发现有数以百计的DSL集线器、SCADA(即监测控制与数据采集)系统、VoIP设备以及交换机中存在用于 VxWorks系统的诊断服务功能。这是一种完全不应该在生产模式下被启用的功能,Moore(他是Rapid 7首席安全官,同时也是Metasploit的总设计师)警告说,因为它会允许外界访问并读取或写入设备内存及电源周期体系中的信息。

类似的问题同样见于如今配备了GSM或蜂窝接入装置的客户设备。iSec Partner公司安全顾问Don Bailey认为,GPS跟踪设备、汽车报警器甚至是SCADA系统传感器很容易受到来自网络的攻击。一旦攻击者在网络上搜索到此类设备,他们就有机会加以利用。

Bailey曾成功地侵入了一套当下流行的汽车防盗系统,并通过向其发送文本消息的方式远程启动了该车辆。而盗用SCADA传器器所带来的危害使人更加不寒而慄。

5.源代码或配置文件中的字符错误

Apache Web服务器(或其它Web平台)中缺失的正斜杠符号可能会让攻击者有机会侵入数据库、防火墙、路由器以及其它内部网络设备。最近在Apache服务器上出现的反向代理旁路攻击展示了配置文件中的单个字符如何造就或是摧毁整套安全体系。

来自Context信息安全公司的研究及开发部门经理Michael Jordon发现了这个问题,并声称这更是一种用户并不了解的错误配置现象:正斜杠在Apache Web代理中将激活"重写规则"。

"这是一个典型的案例,功能就摆在那里但人们却并不知情,也不了解这属于一种错误配置,"Jordon指出。

Apache在本月早些时候发布了针对这一问题的补丁,但Jordon认为这个问题很可能还在影响着其它Web平台。"补丁只能减少此类错误配置出现的可能性,"他解释道。

"任何其它重写URL的反向代理也许还面临着同样的问题。我们已经与其它Web服务器供应商取得了联系并向他们知会了此事,"他说道。

6.明显但却仍然普遍存在的问题:非常用系统补丁更新不及时

及时为系统打上补丁不仅是的种良好的使用范例,同时也应该被视作强制性原则,但这并不意味着所有机构都能及时、准确将其实施妥当,尤其是对于某些看似风险较低的系统更是如此。

就拿美国能源部来说吧,他们本周就荣幸地成为补丁更新的反面教材。根据美国能源部监察办公室的说法,能源部中有十五个不同的分支机构被发现仍在使用未实施已知漏洞补丁更新的桌面系统、网络系统以及运行应用程序的网络设备。正在运行操作系统或应用程序的桌面系统中,有46%没有安装最新补丁,监察主管在报告中称。

"这些应用程序中那些已知漏洞并没有及时被对应的补丁所修复,而事实上在我们着手测试的三个月之前这些补丁就已经提供下载了,"报告(PDF格式)中写道。

但联邦机构绝不是惟一疏于更新补丁的家伙:许多机构都在控制并处理自身运行环境的漏洞方面煞费苦心。来自Secunia的一份最新研究结果建议,企业只要能将严重性漏洞补丁的部署放在第一位,而不是过分关心哪些应用程序比较流行,他们就能获得安全方面的大幅度提升。

eEye 数字安全公司CTO兼联合创始人Marc Maiffret指出,归根结底是由于大家对自己不了解的信息没有概念。"企业……没有这样的洞察力,因此他们不知道如何应对自身环境中所存在的缺陷。或者他们不知道如何着手进行,因此只能选择放弃。"Maiffret分析道。