重大威脅外 十個(gè)不該被忽略的安全隱患
IT管理員們整天都忙于阻擋安全雷達(dá)上顯示的各種大型攻擊,而下面要列出的十個(gè)安全隱患,可能一直存在于企業(yè)中,卻沒有被IT管理員察覺。
1:企業(yè)雇員
企業(yè)自己的雇員就是企業(yè)最大的安全風(fēng)險(xiǎn)來源。有時(shí)候,企業(yè)雇員導(dǎo)致的安全事故是蓄意的,有時(shí)候則是無意的。但不管怎么說,企業(yè)雇員是接觸企業(yè)系統(tǒng)和數(shù)據(jù)最頻繁的人員。我們經(jīng)常過度的擔(dān)心來自外部的安全攻擊,但是老實(shí)說,病毒可以輕易的從企業(yè)雇員的U盤上傳播到企業(yè)系統(tǒng)中,讓企業(yè)長久以來巨資搭建的防護(hù)網(wǎng)絡(luò)形同虛設(shè)。有時(shí)候,對企業(yè)不滿的員工會通過破壞企業(yè)系統(tǒng)的方式發(fā)泄不滿情緒。而且,就算沒有故意行為,員工的工作失誤也是經(jīng)常出現(xiàn)的。良好的管理,安全教育,安全策略,都是預(yù)防此類風(fēng)險(xiǎn)的必要措施,此外還要意識到雇員才是企業(yè)安全屏障的最大漏洞。
2:常規(guī)代碼錯(cuò)誤
編程過程中出現(xiàn)錯(cuò)誤的情況在現(xiàn)在的技術(shù)條件下依然會出現(xiàn)。大多數(shù)常見的編碼錯(cuò)誤會導(dǎo)致SQL注入以及跨站腳本漏洞。這種情況是經(jīng)常出現(xiàn)的,就連一些大型軟件廠商也不能避免(WordPress就是個(gè)例子)。而且對于企業(yè)來說,一旦購買并安裝了某個(gè)商業(yè)軟件,就很難立即將其廢棄,因此企業(yè)必須及時(shí)的為軟件的安全漏洞進(jìn)行修補(bǔ),防止漏洞被黑客利用。
3:未驗(yàn)證的終端設(shè)備
此類現(xiàn)象非常普遍。有些員工會將自己家里的老PC搬到辦公室,用老PC做一些公司電腦不能做的事情。他們可能會覺得,在IT部門的各種限制下,這樣的做法能帶來很大方便。比如,如果IT部門沒有給某個(gè)部門弄個(gè)自己的Web網(wǎng)站或BBS,這個(gè)部門可能會自己弄個(gè)PC放在辦公室角落,并在其上搭建一個(gè)Web服務(wù),方便部門同事之間進(jìn)行交流。但這樣做風(fēng)險(xiǎn)很大。而預(yù)防此類問題的最佳方法就是執(zhí)行嚴(yán)格的IP地址審核策略,同時(shí)經(jīng)常掃描并列出網(wǎng)絡(luò)上的終端設(shè)備。如果新加入的終端無法獲取IP地址,他們帶來的安全威脅也就相對小一些了。
4:古老的服務(wù)器
每個(gè)企業(yè)都有這樣的服務(wù)器,多年來一直呆在機(jī)房的角落,就是不肯退休。一般來說,這種服務(wù)器都在運(yùn)行某種無法被移植到其它服務(wù)器上的軟件包。但是這類服務(wù)器確實(shí)是一個(gè)極大的安全隱患,因?yàn)樗麄兲爬希赡芤呀?jīng)沒有廠商在為它們提供安全補(bǔ)丁了,或者就算有補(bǔ)丁,IT管理員們也怕萬一弄不好,把這個(gè)服務(wù)器弄癱了,其上的服務(wù)軟件將再也無法恢復(fù)運(yùn)行。另外,那些古老的操作系統(tǒng)本身就會包含很多安全漏洞,并且廠商也早已不在提供對應(yīng)的補(bǔ)丁了。總之,IT管理員必須通過各種辦法更換掉這些陳舊的服務(wù)器。第一步最好是將其虛擬化,然后就可以比較方便的對他們進(jìn)行升級了。
5:遺留程序
嚴(yán)重的安全風(fēng)險(xiǎn)來源并不只存在于老舊的服務(wù)器系統(tǒng),還包括其上運(yùn)行的各種軟件,甚至我們在日常辦公中使用的古老軟件。如果能及時(shí)打補(bǔ)丁,這些老舊軟件的安全風(fēng)險(xiǎn)并不會太大,但是現(xiàn)實(shí)中能及時(shí)打補(bǔ)丁的老程序不多。而且由于管理不及時(shí),我們經(jīng)常會錯(cuò)過重要的升級版本。另一種情況就是該軟件的開發(fā)廠商已經(jīng)不再為軟件提供升級服務(wù)了。因此企業(yè)要么對全部程序進(jìn)行檢查并想辦法升級到最新版本,要么就更換相同功能的替代軟件。
6:本地管理員
我們都知道讓用戶總是以管理員特權(quán)登錄系統(tǒng)是非常危險(xiǎn)的。但是很多企業(yè)的用戶仍然是以本地管理員身份登陸終端系統(tǒng)。這種情況很常見,其原因可能是由于用戶在使用系統(tǒng)過程中出現(xiàn)了某些問題,IT管理員讓用戶以本地管理員權(quán)限登錄系統(tǒng),通過電話指導(dǎo)其排除故障,但事后卻沒有將權(quán)限恢復(fù)。不管是什么原因?qū)е碌模@種現(xiàn)象都是企業(yè)安全的定時(shí)炸彈。企業(yè)IT管理員可以通過集中化的管理工具確保只有特定用戶擁有本地管理員權(quán)限。
7:不正確的共享和文件權(quán)限
文件的讀取權(quán)限是一個(gè)很復(fù)雜的問題,而且很多普通用戶根本不知道該如何對其進(jìn)行設(shè)置。因此,企業(yè)用戶在聯(lián)網(wǎng)的環(huán)境中建立了一個(gè)敏感文件,卻使用了默認(rèn)的讀取權(quán)限,導(dǎo)致同一網(wǎng)絡(luò)環(huán)境的其他用戶可以直接查看該文件的內(nèi)容。企業(yè)的IT安全管理員要做的是預(yù)先設(shè)置好共享和文件權(quán)限方面的架構(gòu)。比如,給每個(gè)員工一個(gè)獨(dú)立的根目錄,用來存放個(gè)人文檔,并根據(jù)員工職責(zé),工作項(xiàng)目以及團(tuán)隊(duì)等建立共享文件夾,并設(shè)置相應(yīng)的讀取權(quán)限。這個(gè)過程中會出現(xiàn)一個(gè)問題,即培訓(xùn)員工正確使用這種文件存放規(guī)則,但這應(yīng)該比教會員工為每個(gè)文檔設(shè)置訪問權(quán)限要簡單的多。
8:隱藏軟件本身的web服務(wù)
我最近發(fā)現(xiàn)越來越多的應(yīng)用程序使用Web服務(wù)作為管理控制臺。大多數(shù)情況下,此類程序都是未經(jīng)許可,由企業(yè)員工自行安裝的。但是有時(shí)候IT部門也不清楚這些軟件會帶來什么樣的問題。雖然此類管理控制臺可以被屏蔽,但是仍要確保程序本身是健康無害的。
9:VPN客戶
很多企業(yè)員工都在想辦法讓自己的家用電腦能夠接入公司的VPN。對于管理員來說,這并不是難事。但是管理員無法很好的管理員工的家用電腦,而一旦這些電腦接入公司的VPN,電腦中存在的各種安全問題會通過VPN四處傳播。作為管理員,能做的是經(jīng)常檢查VPN系統(tǒng),看看哪些PC正在使用VPN,并與認(rèn)證系統(tǒng)進(jìn)行對比。你還可以在VPN外圍建立防火墻,封鎖部分終端。另外,也可以使用一些第三方的管理工具對加入VPN的客戶端進(jìn)行驗(yàn)證。
10:關(guān)閉安全軟件
有時(shí)候安全軟件會成為工作的“障礙”,因此員工們的正常做法就是找一種方式來繞開安全軟件的阻攔。比如我就見過有員工在家建立一個(gè)無害的跳轉(zhuǎn)網(wǎng)頁來繞過公司的IT安全策略。而更有權(quán)限的用戶(一般是公司的開發(fā)人員和系統(tǒng)管理員)知道更多如何繞過安全軟件的方法。同時(shí)這些用戶處于工作需要,可能還擁有本地管理員權(quán)限,可以輕易的關(guān)閉系統(tǒng)中的安全軟件。
此類安全隱患不好解決,因?yàn)檫@些用戶都自認(rèn)為自己足夠聰明,不會導(dǎo)致系統(tǒng)出現(xiàn)安全漏洞。而這些人都忽視了一個(gè)問題,即如今的攻擊行為并不需要用戶出現(xiàn)明顯的疏失,比如訪問不安全的網(wǎng)站或者下載盜版軟件。比如每個(gè)Acrobat文件,現(xiàn)在都有可能成為攻擊源。作為管理員,應(yīng)該隨時(shí)關(guān)注那些異常的現(xiàn)象,比如某個(gè)IP的數(shù)據(jù)流量突然增大,并通過集中化的管理工具檢查每個(gè)終端的策略設(shè)置,確保所有終端的安全策略都達(dá)到標(biāo)準(zhǔn)。同時(shí),管理員也要取消任何用戶不必要的本地管理員權(quán)限,并利用防火墻將不同的用戶組規(guī)范在自己的網(wǎng)段內(nèi),防止風(fēng)險(xiǎn)擴(kuò)散。
【編輯推薦】
