企业又遭遇黑客攻击了?很多人也许认为这只是运气太差。恰恰相反,这一切其实是由对基本安全规范的忽视所造成。
大多数企业在黑客活动面前到底有多脆弱?实际情况可能令人错愕–黑客们宣称他们可以利用自己的系统工具对任何目标实施攻击,并信心满满地保证攻克速度相当快捷。我个人熟悉的大多数漏洞测试工具都能在数小时甚至更短的时间内成功侵入多数企业内部,更不用说这些保护机制在职业攻击者面前有多么形同虚设了。
事情原本不该如此。问题在于,大多数IT管理员一次又一次重复着同样的严重安全失误。
安全失误第一位:认为当前的补丁更新已经足够到位
我为许多企业做过安全合规审计工作,而他们无一例外地认为自己已经部署了足够良好的补丁管理机制。根据这些公司的看法,他们机构内部大多数计算机上所运行的操作系统已经打上最新补丁了。但那些普及度最广、同时也是最容易受到攻击的应用程序呢?他们甚至没有意识到这也是安全规范的一部分。
举个实例吧,在审计流程中,我发现某台处于运行中的ApacheWeb服务器完全没打过任何补丁。如果这台计算机中还运行着 AdobeAcrobatReader、AdobeFlash或者Java(事实上它还真的运行着这些程序),毫无疑问这些近一段时间来闹出无数安全问题的麻烦星人们肯定也错过了能够提升安全性的补丁。这并不属于偶然事件,因为该公司不可能没听过这些程序在安全方面的巨大漏洞。事实上,这家企业多年来几乎从未在补丁更新方面做过任何积极的努力。
IT管理员们之所以认为他们已经拥有一套完备的补丁更新机制,是因为他们采购了一套全面的补丁管理程序,并且分配了专人进行监督。整个补丁更新流程不仅比之前有了大幅改善,专项负责人还会定期检查相关列表,以确认还有哪些补丁需要注意。我们得承认,补丁更新这种事情永远不可能尽善尽美。没人能为每一台计算机打上补丁,也不可能照顾到每一款存在漏洞的软件。然而在这里我想强调的是,大家不应该在工作中三分钟热血,在部署阶段戴上眼镜生怕忽略了任何一个小问题,而在日后的平衡运作阶段则完全撒手不管。
最重要的是,大多数部门根本无法按照自己的想法及时为应用程序更新补丁,因为这里还存在一个大问题–应用程序兼容性(也许真实存在,也许只是种使用感受)。举例来说,某些员工原本一直在坚持对Java进行更新,接着有一天他们听说其它部门在更新中出现了错误并造成一定损失,那他们很可能会暂时放弃这一良好习惯–甚至永远放弃。又或者他们不得不为此保留Java的各个版本,以尽量避免更新过程可能带来的麻烦。
随着时间慢慢逝去,我们对于补丁安全之类的话题变得越来越迟钝,企业中的计算机也就愈发缺乏补丁的保护。看到平静和谐的情景,管理层天真地以为补丁问题已经得到解决并顺利步入正轨,殊不知当前的情况甚至比原先更加危险。而毫无疑问,黑客们会为了这种有利局面而弹冠相庆。
安全失误第二位:不了解业务流程中哪些程序需要运行
大多数IT部门完全不清楚自己的计算机上到底运行着哪些程序。新计算机到位之后,往往需要预先安装数十款实用工具及程序,而其中不少用户根本就用不上。在这种情况下,一方面预装程序自身可能存在问题,另一方面用户往往还需要自行添加更多工具及程序。总之真正投入使用时,一台计算机上运行着数百个进程的情况可谓屡见不鲜。
如果我们根本不了解自己面对的对象是什么,那么管理也就无从谈起。这些程序往往规模庞大,拥有大量已知漏洞或是由供应商预留的后门,此类状况都可能成为攻击者们组织侵入的契机。如果大家希望自己的工作环境更加安全,那么首先要清点工作中哪些程序处于运行状态,剔除不需要的冗余内容,并尽全力保护好其它必要程序。
安全失误第三位:对异常现象重视不够
尽管黑客们能够在侵入系统的同时最大程度隐匿自己的形迹,但他们仍然很难做到来去自如而不引发任何异常现象。黑客们需要查探网络状况,从一台计算机接入到其它多台计算机处而不进行任何信息交互。基本上黑客达成目的的手法还是有一定规律可循的,因为他们的行动模式与一般终端用户存在较大差别。
大多数IT管理员对于网络活动及活动水平是否正常及合理都没什么概念,更别提制订一套基准进行衡量了。如果大家不对正常网络活动做出定义,在异常情况发生时我们又该如何识别并及时发出警告呢?根据Verizon数据泄露调查报告中的说法,如果受害人对于信息具备一定的控制机制,那么几乎每一次严重的数据泄露事件都本有机会被提早发现或加以预防;然而年复一年,同样的悲剧仍在不断上演。
安全失误第四位:未制定严密有效的密码管理策略
我想大家都知道,高强度密码(长度较长、内容较复杂)及定期密码更换机制的重要性。我所见过的每一位管理员都信誓旦旦地保证他们使用的密码强度符合要求,但经过实际检查,我发现根本不是这么回事。当然,相对于民用级账户而言他们的密码强度也许够用,但现在我们要讨论的是企业级服务器账户、域际账户以及其它超级用户账户,在这方面他们的密码仍然显得弱不禁风。
我曾提出过这样一种理论:账户的权限越高,密码强度就会变得越弱,而且密码定期更换的频率也就越低。想了解自己制定的密码管理机制到底够不够完善?方法很简单,发送一条查询,看看从最后一次更换密码到现在,中间间隔了多少天。几乎可以肯定,大多数人会发现自己已经有好几年没更换过登录密码了。
安全失误第五位:未能及时向用户公布近期安全威胁
这一点在我看来最为普遍,也最令人头痛。我们都承认终端用户是安全保护体系中最薄弱的一环,但几乎没人意识到应该定期向他们公布最新出现的安全威胁。所谓最新出现的安全威胁,是指在过去五年中出现次数最多、造成影响最大的那些标志性安全问题。令人难以置信的是,大多数用户都非常了解电子邮件附件也能成为攻击活动的载体–要知道,这可是十年之前比较流行的攻击方式,现在早已经过时了。
而每当问起终端用户是否意识到他们有可能在访问自己最了解、最信任而且每天都会登录的网站时被感染,他们的回答总是一片惊呼–是的,对于大多数终端用户而言,自己喜爱的站点上的恶意广告或者主流互联网搜索引擎会带来安全威胁的言论更像是种天方夜谭。他们也不知道,由Facebook上网友发来的可爱小程序中很可能也包含着恶意内容。他们不了解真正的杀毒软件与只会在屏幕上弹出提示窗口的假冒杀毒软件有哪些区别,他们不知道的东西很多,因为我们从没想过为他们提供系统的指导。
以上提到的五大安全失误其实根本不具备任何时效性,它们从出现到今天已经超过二十年了。真正令我感到震惊的是管理人员对工作现状的自满态度。他们对项目进行检查,然后将注意力转移到更大更艰巨的任务上来–但实际上,他们精心打造的安全工作环境甚至不堪一击。而这一切并不难发现,只需几个简单的问题或者查询指令,管理员们完全能够发现问题所在。
对于所有意识到上述问题的IT管理人员,我要表达自己最诚挚的敬意,至少大家已经开始正视这些失误,这是解决问题的先决条件。保持审慎的工作态度,我们必将在未来的安全对抗当中占得先机。