內網安全的十大漏洞及對策
目前先進的網絡安全設備在阻止網絡惡人入侵你的企業方面做了極好的工作。但是,當網絡惡人確實進入到你的安全環境中的時候,你要做什么呢?遺憾的是世界上的所有手段對于目前最惡毒的網絡惡人都沒有多少效果。以下是你的網絡可能被從內部攻破的10個途徑,以及你能夠采取什么措施來保證企業服務器的安全。
1. 優盤。不管你是否相信,優盤實際上是你能夠從防火墻內部感染一個網絡的常用方法,如果不是最常用的方法的話。這有許多理由:優盤價格便宜,體積小、存儲許多數據并且能夠在多種設備之間使用。優盤的普遍應用促使黑客開發出一種有針對性的惡意軟件,如臭名昭著的Conficker蠕蟲。這種蠕蟲能夠在連接到USB端口的時候自動執行。更嚴重的是默認的操作系統設置一般都允許大多數程序(包括惡意程序)自動運行。這相當于你的鄰居每一個人都有一把你的電子車庫門的鑰匙,并且利用這個鑰匙打開其他人的車庫門。
怎么辦:修改計算機默認的自動運行政策。你在這里可以找到在Windows環境中如何去做的資料。網址是:http://support.microsoft.com/kb/967715 #p#
2. 筆記本電腦和上網本:筆記本電腦是一種考慮周到的便攜式設備,包含完整的操作系統,能夠使用內置電池工作并且配置了以太網端口可以直接連接到一個網絡。此外,筆記本電腦中也許已經有了在后臺運行的惡意代碼,其任務是尋找網絡和發現其它可供感染的系統。這臺筆記本電腦也許屬于一個內部的員工或者屬于一個從開放的辦公室來訪或者工作的客戶。
除了被感染的筆記本電腦破壞內部網絡之外,重要的是要考慮這些筆記本電腦本身的問題。所有的公司都擁有絕對不允許帶出辦公樓的敏感資料(如工資信息、醫療記錄、家庭地址、電話號碼和社會安全保險號碼等)。當這些信息存儲在沒有安全措施的便攜式電腦中的時候,那是很危險的,因為便攜式電腦很容易帶出去。我們看到過許多存儲了敏感數據的筆記本電腦丟失的例子。除非這個筆記本電腦使用一種嚴格的加密算法,否則,任何文件系統的數據都是很容易恢復的。
怎么辦:對于敏感的數據采用一個加密的文件系統。有許多現成的解決方案可供選擇,還有開源軟件解決方案,如TrueCrypt。對于進出內部系統的端點實施控制也是重要的。虛擬專用網、DV和WiFi接入等敏感信息不應該永久性地存儲在筆記本電腦或者上網本等設備上。#p#
3. 無線接入點:無線接入點為這個網絡附近的任何用戶提供直接的連接。攻擊駕駛員(駕駛汽車搜索沒有安全保護措施的WiFi網絡的人)實施的無線攻擊是很常見的并且曾造成重大損失。Marshalls和TJMaxx公司的東家TJ Stores曾經遭受過使用這種方式進行的攻擊。入侵者侵入了這家公司處理和存儲客戶交易數據的計算機系統 。這些交易數據包括客戶的信用卡、借記卡、支票和退貨交易等信息。據報道,這次入侵使TJ Stores商店的損失超過了5億美元。
無線接入點本身是不安全的,無論是否使用加密措施都是如此。無線加密協議等協議都包含已知的安全漏洞,使用Aircrack等攻擊框架就很容易攻破。如果不使用強口令,WPA(無線保護接入)和WPA2等更安全的協議也容易受到字典攻擊。
怎么辦:建議使用帶RADIUS(遠程認證撥入用戶服務協議)的WPA2企業版以及能夠進行身份識別和強制執行安全措施的接入點。應該使用強混合口令并且不斷地更換口令。一般來說,無線接入點只是為了連接方便,因此,通常沒有必要把無線接入點連接到工作環境。#p#
4. 各種各樣的USB接口設備:優盤并不是IT部門需要擔心的唯一的USB接口設備。許多設備都能夠把數據存儲到普通的文件系統中并且通過一個USB接口或者類似的連接進行讀寫。由于這不是這些設備的主要功能,這些設備通常被忘記是一種潛在的威脅。事實是,如果一個端點能夠從這個設備上讀取和執行數據,這種設備就能夠同優盤一樣造成威脅。這些設備包括數碼相機、MP3播放機、打印機、掃描儀、傳真機、甚至還有數碼相框。在2008年,百思買報告稱,他們在圣誕節銷售的Insignia數碼相框中發現了一種病毒。這種病毒直接來自于廠商。
怎么辦:實施和強制執行資產控制和政策,規定什么設備可以進入這個環境以及什么時候可以進入這個環境。然后,定期使用政策提醒程序檢測這些政策的執行情況。2008年,美國國防部制定了一些政策,禁止優盤和其它可移動介質進/出他們的環境。#p#
5. 內部連接:公司內部員工也可能意外地或者故意地進入他們不會或者不應該接入的網絡,使用本文介紹的一些手段破壞端點。也許一位員工在同事吃午飯的時候“借用”那個同事的電腦。也許一位員工讓一位同事幫助他訪問他無權訪問的網絡中的一個區域。
怎么辦:應該經常改變口令。為員工規定身份識別和接入等級是必須的。他應該只有訪問系統、文件共享等權限。任何特殊的要求應該呈報給有權批準這個請求的團隊(而不是有權的一個用戶)。#p#
6特洛伊人:同特洛伊木馬一樣,特洛伊人以某種偽裝的方式進入企業。他可能身穿工作服或者穿著合法的維修工的服裝。這類騙子曾經進入過許多非常保密的環境,包括服務器機房等。根據我們自己的社交經驗,我們一般不會阻止或者詢問在我們的辦公環境中的不認識的身穿工作服的人。一個員工也許不會認真思考一下就刷自己的入門卡讓一個身穿工作服的人進入他們的環境提供服務。一個無人監視的人不用1分鐘就能進入服務器機房去感染整個網絡。
怎么辦:應該提醒員工有關授權第三方進入的事情。要通過詢問一些問題來確定來人的身份,不要通過推測。#p#
7. 光盤:在2010年6月,一個陸軍情報分析師被指控竊取并且在公網上泄露保密數據而被逮捕。知情人士說,這位分析師是使用一張偽裝成流行歌手CD的光盤把數據帶出去的。一旦他進入一臺網絡工作站,他就能訪問到他有權訪問的機密信息并且把數據以加密的方式存儲在他的“音樂”CD盤中。為了掩人耳目,這個分析師在使用工作站的時候還會假唱假裝存儲在CD盤中的歌曲。表面上合法的可記錄介質能夠用來拷貝數據進出網絡。同上面提到的優盤一樣,光盤也是網絡感染的一個原因。
怎么辦:同優盤的技巧一樣,重要的是實施和強制執行資產控制和政策,規定什么設備什么時候可以進入這個環境。然后,定期使用政策提醒程序跟蹤執行情況。#p#
8. 事后諸葛亮:雖然這個列表重點介紹緩解利用數字技術的威脅,但是,我們不應該忘記人類的大腦在存儲信息方面也是非常有效的。當你登錄你的筆記本電腦的時候誰在注意你?你的復印件存儲在什么地方?你在咖啡廳、機場等地方在筆記本電腦上閱讀了什么保密的文件?
怎么辦:最好的防御措施是只要操作敏感的數據就要謹慎并且對這種威脅保持警惕,你甚至要立即停下來觀察你的周圍環境。#p#
9. 智能手機和其它數字設備:現在,手機除了讓你給世界各地的人打電話之外還能做更多的事情。智能手機是功能齊全的計算機,配置了WiFi連接、多線程操作系統、大存儲容量、高分辨率攝像頭和大量的應用程序支持。與其它便攜式平板電腦一樣,智能手機開始獲準在企業中使用。智能手機能夠引起上面所說的優盤和筆記本電腦引起的同樣的威脅。而且,智能手機有可能避開傳統的數據泄漏保護解決方案。如何阻止一個用戶拍攝計算機顯示屏的高清照片并且通過手機的3G網絡用電子郵件把這個照片發出去?
怎么辦:這里適用針對USB設備和光盤的同樣的規則。實施和強制執行資產控制和政策,規定什么設備什么時候可以進入這個環境。#p#
10. 電子郵件:電子郵件是企業收發數據中經常使用的方法。然而,電子郵件經常被濫用。包含保密信息的郵件很容易發送到外部目標。此外,電子郵件本身也可能攜帶病毒。一個有針對性的電子郵件可能是為了竊取一個員工的訪問證書。這些竊取的證書可以在第二階段的攻擊中使用。
怎么辦:對于電子郵件的安全,來源的身份識別是關鍵。使用PGP等技術識別發件人的身份或者在發送敏感的信息之前提出一些簡單的問題。應該強制執行對于廣泛的化名電子郵件地址的訪問控制。政策和提醒程序應該發給員工。
【編輯推薦】
