【51CTO 11月16日外電頭條】細(xì)微的失誤往往會(huì)導(dǎo)致極大的安全隱患。有時(shí)候一些未知或是容易被忽視的細(xì)微失誤最終導(dǎo)致機(jī)構(gòu)在攻擊行為面前城門大開：服務(wù)器配置中的hash標(biāo)示缺失、某個(gè)長(zhǎng)期被遺忘的PBX用戶賬戶或者是辦公室打印機(jī)中的嵌入式Web服務(wù)都在此列。

其實(shí)我們的制約機(jī)制不能說(shuō)不完善，來(lái)自規(guī)范的壓力、日益增長(zhǎng)的惡意軟件戒備心以及對(duì)成為頭號(hào)數(shù)據(jù)侵犯受害者的恐懼，這一切似乎都使企業(yè)不可能不注意到自身底層設(shè)備的潛在問(wèn)題或是細(xì)微的配置錯(cuò)誤。

但即便如此，當(dāng)壞人以某個(gè)不起眼的薄弱環(huán)節(jié)為目標(biāo)而磨刀霍霍——例如那些由于年深日久、很少用到而沒有加裝最新安全補(bǔ)丁的臺(tái)式機(jī)--無(wú)知不能成為我們逃避責(zé)任的借口。攻擊者只要抓住一個(gè)漏洞，即可獲得在某個(gè)機(jī)構(gòu)中立足的平臺(tái)，進(jìn)而竊取敏感數(shù)據(jù)或是組織長(zhǎng)期計(jì)算機(jī)諜報(bào)工作。

意識(shí)到威脅的嚴(yán)重性了？亡羊補(bǔ)牢，未為晚矣。讓我們看看企業(yè)常犯的一些細(xì)微但可能引發(fā)重大危險(xiǎn)的錯(cuò)誤，并在它們真的困擾大家之前將其扼殺在萌芽狀態(tài)。

1.SSL服務(wù)器配置不當(dāng)

近來(lái)似乎已經(jīng)無(wú)法擺脫固有安全性薄弱的壞名聲。但是，大多數(shù)SSL服務(wù)器的問(wèn)題其實(shí)主要出自配置不正確，比如甚至連會(huì)話加密的功能都沒用到。實(shí)際上只有大約五分之一的SSL網(wǎng)站為SSL進(jìn)行了重寫定向以保障驗(yàn)證機(jī)制的作用，而大約70%的SSL服務(wù)器處理驗(yàn)證的方式仍然是純文本登錄。尤其值得一提的是，半數(shù)以上采用的是純文本密碼提交。

以上結(jié)論來(lái)自SSL實(shí)驗(yàn)室所出具的一份全球性SSL調(diào)查報(bào)告，同時(shí)也是Qualys的社區(qū)項(xiàng)目。但其內(nèi)容仍不全面：目前攻擊者們完全可以在無(wú)需僵尸網(wǎng)絡(luò)輔助的前提下進(jìn)行SSL服務(wù)器拒絕服務(wù)攻擊。本周一款新的黑客工具正式發(fā)布。有了它，攻擊者們能夠從一臺(tái)筆記本或其它計(jì)算機(jī)上利用SSL重議功能實(shí)現(xiàn)面向SSL服務(wù)器的DoS攻擊。

那些糊里糊涂將SSL重議功能設(shè)為啟用的機(jī)構(gòu)在這種攻擊面前可謂"人為刀俎，我為魚肉"，而該攻擊也以THC-SSL-DOS工具的名頭日趨流行。安全專家聲稱，Web服務(wù)器上的SSL重議功能其實(shí)沒什么實(shí)際用處，因此建議大家一律加以禁用就對(duì)了。

但nCircle公司安全研究及開發(fā)部門經(jīng)理Tyler Reguly卻認(rèn)為，單純禁用是種被動(dòng)的對(duì)策，目前仍然沒有一套能夠抵御攻擊的實(shí)際解決方案。因?yàn)?quot;這就是該協(xié)議自身的工作方式，"他評(píng)論道。

Reguly指出，此類DoS攻擊是SSL機(jī)制崩壞的又一明證。"我們需要一套更好的機(jī)制，"他說(shuō)。

2.忽略某個(gè)具備高權(quán)限卻極少使用的賬戶

許多機(jī)構(gòu)都沒有鎖定某些能夠直接登錄的管理賬戶，這使得攻擊者有機(jī)可乘。但除此之外，還有不少被忽略掉或是很少使用的高權(quán)限賬戶，它們的存在本身就是安全機(jī)制的重大隱患。

一家素以高安全保障機(jī)制與管理員賬戶保護(hù)得力著稱的財(cái)富五百?gòu)?qiáng)金融服務(wù)公司，近來(lái)就被一個(gè)長(zhǎng)期丟在某臺(tái)西門子Rolm程控交換機(jī)中落灰的區(qū)域管理員賬戶弄得狼狽不堪：這個(gè)權(quán)限極高的賬戶是被Trustwave SpiderLabs發(fā)現(xiàn)并被用于進(jìn)行參透測(cè)試。小小的疏忽如今卻成為攻克企業(yè)網(wǎng)絡(luò)那森嚴(yán)戒備的一枚穿甲彈。他們使用該賬戶建立克隆的服務(wù)臺(tái)語(yǔ)音信箱，并在求助者來(lái)電咨詢時(shí)通過(guò)社交手段獲取對(duì)應(yīng)的驗(yàn)證信息。假冒IT服務(wù)臺(tái)工程師的Havelt很輕松就得到了一個(gè)VPN用戶的用戶名及雙要素驗(yàn)證令牌的密碼，進(jìn)而完成了VPN連接的長(zhǎng)效化工作。

正是上述失誤，讓整個(gè)企業(yè)的人力資源、金融與財(cái)富管理傳輸系統(tǒng)以及其它各類敏感信息通通暴露在攻擊者面前。

"事情的起因細(xì)微且易被忽視，但一旦威脅出現(xiàn)，事態(tài)就會(huì)像滾雪球那樣一發(fā)而不可收拾，"Rob Havelt說(shuō)道。他是Trustwave SpiderLabs的滲透測(cè)試部門主管，主要負(fù)責(zé)為公司的金融服務(wù)類客戶提供測(cè)試服務(wù)。"起因往往是這樣：萬(wàn)年不變的主題，某個(gè)默認(rèn)賬戶連帶默認(rèn)密碼被遺忘在某處。看起來(lái)沒什么大不了的，但它迅速擴(kuò)大……只要我們隨便給別人某個(gè)級(jí)別的訪問(wèn)權(quán)限，他們總會(huì)發(fā)現(xiàn)其中的漏洞。"Havelt建議稱，各機(jī)構(gòu)應(yīng)該審核所有設(shè)備，甚至是像PBX這樣的遺留系統(tǒng)。"務(wù)必確保密碼策略的正確執(zhí)行，"他說(shuō)道。在前面提到的金融服務(wù)公司案例中，PBX系統(tǒng)"歸屬于"電話溝通部門而非IT部門，這就形成了一個(gè)安全方面的斷層。"在理想狀態(tài)下，大家需要為任何能夠接入（網(wǎng)絡(luò)）的事物配備相關(guān)負(fù)責(zé)人，"他補(bǔ)充道。

3.誤以為自己的VPN流量始終是安全的

只是某位用戶從酒店網(wǎng)絡(luò)連接到企業(yè)VPN上，這就要跟遠(yuǎn)程安全性扯上關(guān)系，有點(diǎn)危言聳聽了吧？事實(shí)上，想當(dāng)然地認(rèn)為員工通過(guò)遠(yuǎn)程方式接入VPN的流量并不危險(xiǎn)是"一種極其嚴(yán)重的錯(cuò)誤"，Nimmy Reichenberg表示。他是AlgoSec公司市場(chǎng)與商務(wù)開發(fā)部門的副總裁。

"通過(guò)酒店網(wǎng)絡(luò)進(jìn)行工作，其中不免摻雜大量可能趁虛而入的惡意軟件，并且其中很多都無(wú)法被終端的殺毒軟件檢測(cè)到。那么一旦這些東西獲得進(jìn)入許可，企業(yè)網(wǎng)絡(luò)就準(zhǔn)備好面對(duì)惡意軟件的肆虐吧，"他解釋道。"盡管不少員工經(jīng)常在外地或是家中以遠(yuǎn)程方式連接到VPN，但他們很可能不具備（行之有效的）安全控制手段。"

因此盡管VPN會(huì)話在理論上經(jīng)過(guò)了驗(yàn)證及加密，但已經(jīng)受到感染的用戶計(jì)算機(jī)仍然足以給企業(yè)網(wǎng)絡(luò)帶入惡意軟件。如果用戶計(jì)算機(jī)受到的是bot感染，那么僵尸網(wǎng)絡(luò)也同樣會(huì)侵入內(nèi)部網(wǎng)絡(luò)，Reichenberg如是說(shuō)。

關(guān)鍵是要通過(guò)檢查，首先阻止來(lái)自隔離區(qū)VPN流量，他指出。"大多數(shù)企業(yè)對(duì)此并不重視，"他接著說(shuō)。"他們只檢查來(lái)自不受信任的外部來(lái)源的流量，但如果流量通過(guò)VPN進(jìn)入，則往往不被視為安全威脅。"

這種狀況可以通過(guò)合理的防火墻策略加以解決，他建議道。

"很多人相信通過(guò)VPN的流量是安全的，但我們認(rèn)為事實(shí)并非如此，"他補(bǔ)充說(shuō)。#p#

4.對(duì)嵌入式系統(tǒng)的無(wú)知

復(fù)印機(jī)、掃描儀以及VoIP電話中所包含的嵌入式Web服務(wù)器通常都存在一定的安全問(wèn)題或是配置錯(cuò)誤，因此當(dāng)它們被安裝被投入使用時(shí)，這些問(wèn)題就會(huì)轉(zhuǎn)化成潛在的威脅。"事實(shí)上這些設(shè)備都不應(yīng)該被接入互聯(lián)網(wǎng)。我實(shí)在想不出一臺(tái)惠普的掃描儀有什么必要連網(wǎng)，"Michael Sutton評(píng)論道，他是Zscaler實(shí)驗(yàn)室安全研究部門副總裁，并于今年夏季將自己的調(diào)查成果在黑帽大會(huì)上與大家進(jìn)行了分享。

Sutton發(fā)現(xiàn)，理光與夏普的復(fù)印機(jī)、惠普掃描儀以及Snom VoIP手機(jī)通常都能夠從互聯(lián)網(wǎng)上直接加以訪問(wèn)。而且這些設(shè)備往往歸企業(yè)所在，而且整個(gè)機(jī)構(gòu)壓根不知道它們處于可在線查看的狀態(tài)。

數(shù)字檔案的影印本可能會(huì)被攻擊者獲取，而他們同樣能夠通過(guò)數(shù)據(jù)包捕獲功能對(duì)嵌入式VoIP系統(tǒng)進(jìn)行竊聽。"如果（VoIP系統(tǒng)）處于可訪問(wèn)狀態(tài)，我們自然就可以登錄、開啟、捕捉流量并且下載PCAP等等。而借助Wireshark，我們還能夠?qū)δ繕?biāo)機(jī)構(gòu)加以監(jiān)聽，"Sutton解釋道。

關(guān)鍵是要在攻擊者得逞之前發(fā)現(xiàn)這些存在漏洞的設(shè)備。Sutton打造了一款名為BREWS的免費(fèi)工具，用于自動(dòng)執(zhí)行此類檢測(cè)。

其它類型的網(wǎng)絡(luò)設(shè)備中也有不少錯(cuò)誤配置，同樣可能讓對(duì)此毫不知情的客戶們陷入安全風(fēng)險(xiǎn)。根據(jù)HD Moore去年公布的研究結(jié)果，他發(fā)現(xiàn)有數(shù)以百計(jì)的DSL集線器、SCADA（即監(jiān)測(cè)控制與數(shù)據(jù)采集）系統(tǒng)、VoIP設(shè)備以及交換機(jī)中存在用于VxWorks系統(tǒng)的診斷服務(wù)功能。這是一種完全不應(yīng)該在生產(chǎn)模式下被啟用的功能，Moore（他是Rapid 7首席安全官，同時(shí)也是Metasploit的總設(shè)計(jì)師）警告說(shuō)，因?yàn)樗鼤?huì)允許外界訪問(wèn)并讀取或?qū)懭朐O(shè)備內(nèi)存及電源周期體系中的信息。

類似的問(wèn)題同樣見于如今配備了GSM或蜂窩接入裝置的客戶設(shè)備。iSec Partner公司安全顧問(wèn)Don Bailey認(rèn)為，GPS跟蹤設(shè)備、汽車報(bào)警器甚至是SCADA系統(tǒng)傳感器很容易受到來(lái)自網(wǎng)絡(luò)的攻擊。一旦攻擊者在網(wǎng)絡(luò)上搜索到此類設(shè)備，他們就有機(jī)會(huì)加以利用。

Bailey曾成功地侵入了一套當(dāng)下流行的汽車防盜系統(tǒng)，并通過(guò)向其發(fā)送文本消息的方式遠(yuǎn)程啟動(dòng)了該車輛。而盜用SCADA傳器器所帶來(lái)的危害使人更加不寒而慄。

5.源代碼或配置文件中的字符錯(cuò)誤

Apache Web服務(wù)器（或其它Web平臺(tái)）中缺失的正斜杠符號(hào)可能會(huì)讓攻擊者有機(jī)會(huì)侵入數(shù)據(jù)庫(kù)、防火墻、路由器以及其它內(nèi)部網(wǎng)絡(luò)設(shè)備。最近在Apache服務(wù)器上出現(xiàn)的反向代理旁路攻擊展示了配置文件中的單個(gè)字符如何造就或是摧毀整套安全體系。

來(lái)自Context信息安全公司的研究及開發(fā)部門經(jīng)理Michael Jordon發(fā)現(xiàn)了這個(gè)問(wèn)題，并聲稱這更是一種用戶并不了解的錯(cuò)誤配置現(xiàn)象：正斜杠在Apache Web代理中將激活"重寫規(guī)則"。

"這是一個(gè)典型的案例，功能就擺在那里但人們卻并不知情，也不了解這屬于一種錯(cuò)誤配置，"Jordon指出。

Apache在本月早些時(shí)候發(fā)布了針對(duì)這一問(wèn)題的補(bǔ)丁，但Jordon認(rèn)為這個(gè)問(wèn)題很可能還在影響著其它Web平臺(tái)。"補(bǔ)丁只能減少此類錯(cuò)誤配置出現(xiàn)的可能性，"他解釋道。

"任何其它重寫URL的反向代理也許還面臨著同樣的問(wèn)題。我們已經(jīng)與其它Web服務(wù)器供應(yīng)商取得了聯(lián)系并向他們知會(huì)了此事，"他說(shuō)道。

6.明顯但卻仍然普遍存在的問(wèn)題：非常用系統(tǒng)補(bǔ)丁更新不及時(shí)

及時(shí)為系統(tǒng)打上補(bǔ)丁不僅是的種良好的使用范例，同時(shí)也應(yīng)該被視作強(qiáng)制性原則，但這并不意味著所有機(jī)構(gòu)都能及時(shí)、準(zhǔn)確將其實(shí)施妥當(dāng)，尤其是對(duì)于某些看似風(fēng)險(xiǎn)較低的系統(tǒng)更是如此。

就拿美國(guó)能源部來(lái)說(shuō)吧，他們本周就榮幸地成為補(bǔ)丁更新的反面教材。根據(jù)美國(guó)能源部監(jiān)察辦公室的說(shuō)法，能源部中有十五個(gè)不同的分支機(jī)構(gòu)被發(fā)現(xiàn)仍在使用未實(shí)施已知漏洞補(bǔ)丁更新的桌面系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及運(yùn)行應(yīng)用程序的網(wǎng)絡(luò)設(shè)備。正在運(yùn)行操作系統(tǒng)或應(yīng)用程序的桌面系統(tǒng)中，有46%沒有安裝最新補(bǔ)丁，監(jiān)察主管在報(bào)告中稱。

"這些應(yīng)用程序中那些已知漏洞并沒有及時(shí)被對(duì)應(yīng)的補(bǔ)丁所修復(fù)，而事實(shí)上在我們著手測(cè)試的三個(gè)月之前這些補(bǔ)丁就已經(jīng)提供下載了，"報(bào)告（PDF格式）中寫道。

但聯(lián)邦機(jī)構(gòu)絕不是惟一疏于更新補(bǔ)丁的家伙：許多機(jī)構(gòu)都在控制并處理自身運(yùn)行環(huán)境的漏洞方面煞費(fèi)苦心。來(lái)自Secunia的一份最新研究結(jié)果建議，企業(yè)只要能將嚴(yán)重性漏洞補(bǔ)丁的部署放在第一位，而不是過(guò)分關(guān)心哪些應(yīng)用程序比較流行，他們就能獲得安全方面的大幅度提升。

eEye數(shù)字安全公司CTO兼聯(lián)合創(chuàng)始人Marc Maiffret指出，歸根結(jié)底是由于大家對(duì)自己不了解的信息沒有概念。"企業(yè)……沒有這樣的洞察力，因此他們不知道如何應(yīng)對(duì)自身環(huán)境中所存在的缺陷?；蛘咚麄儾恢廊绾沃诌M(jìn)行，因此只能選擇放棄。"Maiffret分析道。

原文鏈接：http://www.darkreading.com/security/security-management/231901744/six-deadly-security-blunders-businesses-make.html?pgno=1#articleArea

 【51CTO.com譯文，轉(zhuǎn)載請(qǐng)注明原文作譯者和出處?！?/p>