企業(yè)最容易犯下的五大安全失誤

企業(yè)又遭遇黑客攻擊了？很多人也許認(rèn)為這只是運(yùn)氣太差。恰恰相反，這一切其實(shí)是由對(duì)基本安全規(guī)范的忽視所造成。

大多數(shù)企業(yè)在黑客活動(dòng)面前到底有多脆弱？實(shí)際情況可能令人錯(cuò)愕--黑客們宣稱他們可以利用自己的系統(tǒng)工具對(duì)任何目標(biāo)實(shí)施攻擊，并信心滿滿地保證攻克速度相當(dāng)快捷。我個(gè)人熟悉的大多數(shù)漏洞測(cè)試工具都能在數(shù)小時(shí)甚至更短的時(shí)間內(nèi)成功侵入多數(shù)企業(yè)內(nèi)部，更不用說(shuō)這些保護(hù)機(jī)制在職業(yè)攻擊者面前有多么形同虛設(shè)了。

事情原本不該如此。問(wèn)題在于，大多數(shù)IT管理員一次又一次重復(fù)著同樣的嚴(yán)重安全失誤。

安全失誤第一位：認(rèn)為當(dāng)前的補(bǔ)丁更新已經(jīng)足夠到位

我為許多企業(yè)做過(guò)安全合規(guī)審計(jì)工作，而他們無(wú)一例外地認(rèn)為自己已經(jīng)部署了足夠良好的補(bǔ)丁管理機(jī)制。根據(jù)這些公司的看法，他們機(jī)構(gòu)內(nèi)部大多數(shù)計(jì)算機(jī)上所運(yùn)行的操作系統(tǒng)已經(jīng)打上最新補(bǔ)丁了。但那些普及度最廣、同時(shí)也是最容易受到攻擊的應(yīng)用程序呢？他們甚至沒(méi)有意識(shí)到這也是安全規(guī)范的一部分。

舉個(gè)實(shí)例吧，在審計(jì)流程中，我發(fā)現(xiàn)某臺(tái)處于運(yùn)行中的ApacheWeb服務(wù)器完全沒(méi)打過(guò)任何補(bǔ)丁。如果這臺(tái)計(jì)算機(jī)中還運(yùn)行著AdobeAcrobatReader、AdobeFlash或者Java（事實(shí)上它還真的運(yùn)行著這些程序），毫無(wú)疑問(wèn)這些近一段時(shí)間來(lái)鬧出無(wú)數(shù)安全問(wèn)題的麻煩星人們肯定也錯(cuò)過(guò)了能夠提升安全性的補(bǔ)丁。這并不屬于偶然事件，因?yàn)樵摴静豢赡軟](méi)聽(tīng)過(guò)這些程序在安全方面的巨大漏洞。事實(shí)上，這家企業(yè)多年來(lái)幾乎從未在補(bǔ)丁更新方面做過(guò)任何積極的努力。

IT管理員們之所以認(rèn)為他們已經(jīng)擁有一套完備的補(bǔ)丁更新機(jī)制，是因?yàn)樗麄儾少?gòu)了一套全面的補(bǔ)丁管理程序，并且分配了專人進(jìn)行監(jiān)督。整個(gè)補(bǔ)丁更新流程不僅比之前有了大幅改善，專項(xiàng)負(fù)責(zé)人還會(huì)定期檢查相關(guān)列表，以確認(rèn)還有哪些補(bǔ)丁需要注意。我們得承認(rèn)，補(bǔ)丁更新這種事情永遠(yuǎn)不可能盡善盡美。沒(méi)人能為每一臺(tái)計(jì)算機(jī)打上補(bǔ)丁，也不可能照顧到每一款存在漏洞的軟件。然而在這里我想強(qiáng)調(diào)的是，大家不應(yīng)該在工作中三分鐘熱血，在部署階段戴上眼鏡生怕忽略了任何一個(gè)小問(wèn)題，而在日后的平衡運(yùn)作階段則完全撒手不管。

最重要的是，大多數(shù)部門(mén)根本無(wú)法按照自己的想法及時(shí)為應(yīng)用程序更新補(bǔ)丁，因?yàn)檫@里還存在一個(gè)大問(wèn)題--應(yīng)用程序兼容性（也許真實(shí)存在，也許只是種使用感受）。舉例來(lái)說(shuō)，某些員工原本一直在堅(jiān)持對(duì)Java進(jìn)行更新，接著有一天他們聽(tīng)說(shuō)其它部門(mén)在更新中出現(xiàn)了錯(cuò)誤并造成一定損失，那他們很可能會(huì)暫時(shí)放棄這一良好習(xí)慣--甚至永遠(yuǎn)放棄。又或者他們不得不為此保留Java的各個(gè)版本，以盡量避免更新過(guò)程可能帶來(lái)的麻煩。

隨著時(shí)間慢慢逝去，我們對(duì)于補(bǔ)丁安全之類的話題變得越來(lái)越遲鈍，企業(yè)中的計(jì)算機(jī)也就愈發(fā)缺乏補(bǔ)丁的保護(hù)?？吹狡届o和諧的情景，管理層天真地以為補(bǔ)丁問(wèn)題已經(jīng)得到解決并順利步入正軌，殊不知當(dāng)前的情況甚至比原先更加危險(xiǎn)。而毫無(wú)疑問(wèn)，黑客們會(huì)為了這種有利局面而彈冠相慶。

安全失誤第二位：不了解業(yè)務(wù)流程中哪些程序需要運(yùn)行

大多數(shù)IT部門(mén)完全不清楚自己的計(jì)算機(jī)上到底運(yùn)行著哪些程序。新計(jì)算機(jī)到位之后，往往需要預(yù)先安裝數(shù)十款實(shí)用工具及程序，而其中不少用戶根本就用不上。在這種情況下，一方面預(yù)裝程序自身可能存在問(wèn)題，另一方面用戶往往還需要自行添加更多工具及程序?？傊嬲度胧褂脮r(shí)，一臺(tái)計(jì)算機(jī)上運(yùn)行著數(shù)百個(gè)進(jìn)程的情況可謂屢見(jiàn)不鮮。

如果我們根本不了解自己面對(duì)的對(duì)象是什么，那么管理也就無(wú)從談起。這些程序往往規(guī)模龐大，擁有大量已知漏洞或是由供應(yīng)商預(yù)留的后門(mén)，此類狀況都可能成為攻擊者們組織侵入的契機(jī)。如果大家希望自己的工作環(huán)境更加安全，那么首先要清點(diǎn)工作中哪些程序處于運(yùn)行狀態(tài)，剔除不需要的冗余內(nèi)容，并盡全力保護(hù)好其它必要程序。

安全失誤第三位：對(duì)異?，F(xiàn)象重視不夠

盡管黑客們能夠在侵入系統(tǒng)的同時(shí)最大程度隱匿自己的形跡，但他們?nèi)匀缓茈y做到來(lái)去自如而不引發(fā)任何異?，F(xiàn)象。黑客們需要查探網(wǎng)絡(luò)狀況，從一臺(tái)計(jì)算機(jī)接入到其它多臺(tái)計(jì)算機(jī)處而不進(jìn)行任何信息交互?；旧虾诳瓦_(dá)成目的的手法還是有一定規(guī)律可循的，因?yàn)樗麄兊男袆?dòng)模式與一般終端用戶存在較大差別。

大多數(shù)IT管理員對(duì)于網(wǎng)絡(luò)活動(dòng)及活動(dòng)水平是否正常及合理都沒(méi)什么概念，更別提制訂一套基準(zhǔn)進(jìn)行衡量了。如果大家不對(duì)正常網(wǎng)絡(luò)活動(dòng)做出定義，在異常情況發(fā)生時(shí)我們又該如何識(shí)別并及時(shí)發(fā)出警告呢？根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報(bào)告中的說(shuō)法，如果受害人對(duì)于信息具備一定的控制機(jī)制，那么幾乎每一次嚴(yán)重的數(shù)據(jù)泄露事件都本有機(jī)會(huì)被提早發(fā)現(xiàn)或加以預(yù)防；然而年復(fù)一年，同樣的悲劇仍在不斷上演。

安全失誤第四位：未制定嚴(yán)密有效的密碼管理策略

我想大家都知道，高強(qiáng)度密碼（長(zhǎng)度較長(zhǎng)、內(nèi)容較復(fù)雜）及定期密碼更換機(jī)制的重要性。我所見(jiàn)過(guò)的每一位管理員都信誓旦旦地保證他們使用的密碼強(qiáng)度符合要求，但經(jīng)過(guò)實(shí)際檢查，我發(fā)現(xiàn)根本不是這么回事。當(dāng)然，相對(duì)于民用級(jí)賬戶而言他們的密碼強(qiáng)度也許夠用，但現(xiàn)在我們要討論的是企業(yè)級(jí)服務(wù)器賬戶、域際賬戶以及其它超級(jí)用戶賬戶，在這方面他們的密碼仍然顯得弱不禁風(fēng)。

我曾提出過(guò)這樣一種理論：賬戶的權(quán)限越高，密碼強(qiáng)度就會(huì)變得越弱，而且密碼定期更換的頻率也就越低。想了解自己制定的密碼管理機(jī)制到底夠不夠完善？方法很簡(jiǎn)單，發(fā)送一條查詢，看看從最后一次更換密碼到現(xiàn)在，中間間隔了多少天。幾乎可以肯定，大多數(shù)人會(huì)發(fā)現(xiàn)自己已經(jīng)有好幾年沒(méi)更換過(guò)登錄密碼了。

安全失誤第五位：未能及時(shí)向用戶公布近期安全威脅

這一點(diǎn)在我看來(lái)最為普遍，也最令人頭痛。我們都承認(rèn)終端用戶是安全保護(hù)體系中最薄弱的一環(huán)，但幾乎沒(méi)人意識(shí)到應(yīng)該定期向他們公布最新出現(xiàn)的安全威脅。所謂最新出現(xiàn)的安全威脅，是指在過(guò)去五年中出現(xiàn)次數(shù)最多、造成影響最大的那些標(biāo)志性安全問(wèn)題。令人難以置信的是，大多數(shù)用戶都非常了解電子郵件附件也能成為攻擊活動(dòng)的載體--要知道，這可是十年之前比較流行的攻擊方式，現(xiàn)在早已經(jīng)過(guò)時(shí)了。

而每當(dāng)問(wèn)起終端用戶是否意識(shí)到他們有可能在訪問(wèn)自己最了解、最信任而且每天都會(huì)登錄的網(wǎng)站時(shí)被感染，他們的回答總是一片驚呼--是的，對(duì)于大多數(shù)終端用戶而言，自己喜愛(ài)的站點(diǎn)上的惡意廣告或者主流互聯(lián)網(wǎng)搜索引擎會(huì)帶來(lái)安全威脅的言論更像是種天方夜譚。他們也不知道，由Facebook上網(wǎng)友發(fā)來(lái)的可愛(ài)小程序中很可能也包含著惡意內(nèi)容。他們不了解真正的殺毒軟件與只會(huì)在屏幕上彈出提示窗口的假冒殺毒軟件有哪些區(qū)別，他們不知道的東西很多，因?yàn)槲覀儚臎](méi)想過(guò)為他們提供系統(tǒng)的指導(dǎo)。

以上提到的五大安全失誤其實(shí)根本不具備任何時(shí)效性，它們從出現(xiàn)到今天已經(jīng)超過(guò)二十年了。真正令我感到震驚的是管理人員對(duì)工作現(xiàn)狀的自滿態(tài)度。他們對(duì)項(xiàng)目進(jìn)行檢查，然后將注意力轉(zhuǎn)移到更大更艱巨的任務(wù)上來(lái)--但實(shí)際上，他們精心打造的安全工作環(huán)境甚至不堪一擊。而這一切并不難發(fā)現(xiàn)，只需幾個(gè)簡(jiǎn)單的問(wèn)題或者查詢指令，管理員們完全能夠發(fā)現(xiàn)問(wèn)題所在。

對(duì)于所有意識(shí)到上述問(wèn)題的IT管理人員，我要表達(dá)自己最誠(chéng)摯的敬意，至少大家已經(jīng)開(kāi)始正視這些失誤，這是解決問(wèn)題的先決條件。保持審慎的工作態(tài)度，我們必將在未來(lái)的安全對(duì)抗當(dāng)中占得先機(jī)。

【推薦閱讀】

◆IT運(yùn)維管理專區(qū)

◆別讓打印機(jī)成為網(wǎng)絡(luò)安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡(luò)安全管理十大注意事項(xiàng)

◆IT運(yùn)維管理：企業(yè)網(wǎng)絡(luò)安全的研究措施

◆網(wǎng)管軟件專區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:39 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：