企業(yè)最容易犯下的五大安全失誤

企業(yè)又遭遇黑客攻擊了？很多人也許認為這只是運氣太差。恰恰相反，這一切其實是由對基本安全規(guī)范的忽視所造成。

大多數(shù)企業(yè)在黑客活動面前到底有多脆弱？實際情況可能令人錯愕--黑客們宣稱他們可以利用自己的系統(tǒng)工具對任何目標實施攻擊，并信心滿滿地保證攻克速度相當快捷。我個人熟悉的大多數(shù)漏洞測試工具都能在數(shù)小時甚至更短的時間內(nèi)成功侵入多數(shù)企業(yè)內(nèi)部，更不用說這些保護機制在職業(yè)攻擊者面前有多么形同虛設了。

事情原本不該如此。問題在于，大多數(shù)IT管理員一次又一次重復著同樣的嚴重安全失誤。

安全失誤第一位：認為當前的補丁更新已經(jīng)足夠到位

我為許多企業(yè)做過安全合規(guī)審計工作，而他們無一例外地認為自己已經(jīng)部署了足夠良好的補丁管理機制。根據(jù)這些公司的看法，他們機構內(nèi)部大多數(shù)計算機上所運行的操作系統(tǒng)已經(jīng)打上最新補丁了。但那些普及度最廣、同時也是最容易受到攻擊的應用程序呢？他們甚至沒有意識到這也是安全規(guī)范的一部分。

舉個實例吧，在審計流程中，我發(fā)現(xiàn)某臺處于運行中的ApacheWeb服務器完全沒打過任何補丁。如果這臺計算機中還運行著AdobeAcrobatReader、AdobeFlash或者Java（事實上它還真的運行著這些程序），毫無疑問這些近一段時間來鬧出無數(shù)安全問題的麻煩星人們肯定也錯過了能夠提升安全性的補丁。這并不屬于偶然事件，因為該公司不可能沒聽過這些程序在安全方面的巨大漏洞。事實上，這家企業(yè)多年來幾乎從未在補丁更新方面做過任何積極的努力。

IT管理員們之所以認為他們已經(jīng)擁有一套完備的補丁更新機制，是因為他們采購了一套全面的補丁管理程序，并且分配了專人進行監(jiān)督。整個補丁更新流程不僅比之前有了大幅改善，專項負責人還會定期檢查相關列表，以確認還有哪些補丁需要注意。我們得承認，補丁更新這種事情永遠不可能盡善盡美。沒人能為每一臺計算機打上補丁，也不可能照顧到每一款存在漏洞的軟件。然而在這里我想強調(diào)的是，大家不應該在工作中三分鐘熱血，在部署階段戴上眼鏡生怕忽略了任何一個小問題，而在日后的平衡運作階段則完全撒手不管。

最重要的是，大多數(shù)部門根本無法按照自己的想法及時為應用程序更新補丁，因為這里還存在一個大問題--應用程序兼容性（也許真實存在，也許只是種使用感受）。舉例來說，某些員工原本一直在堅持對Java進行更新，接著有一天他們聽說其它部門在更新中出現(xiàn)了錯誤并造成一定損失，那他們很可能會暫時放棄這一良好習慣--甚至永遠放棄。又或者他們不得不為此保留Java的各個版本，以盡量避免更新過程可能帶來的麻煩。

隨著時間慢慢逝去，我們對于補丁安全之類的話題變得越來越遲鈍，企業(yè)中的計算機也就愈發(fā)缺乏補丁的保護?？吹狡届o和諧的情景，管理層天真地以為補丁問題已經(jīng)得到解決并順利步入正軌，殊不知當前的情況甚至比原先更加危險。而毫無疑問，黑客們會為了這種有利局面而彈冠相慶。

安全失誤第二位：不了解業(yè)務流程中哪些程序需要運行

大多數(shù)IT部門完全不清楚自己的計算機上到底運行著哪些程序。新計算機到位之后，往往需要預先安裝數(shù)十款實用工具及程序，而其中不少用戶根本就用不上。在這種情況下，一方面預裝程序自身可能存在問題，另一方面用戶往往還需要自行添加更多工具及程序。總之真正投入使用時，一臺計算機上運行著數(shù)百個進程的情況可謂屢見不鮮。

如果我們根本不了解自己面對的對象是什么，那么管理也就無從談起。這些程序往往規(guī)模龐大，擁有大量已知漏洞或是由供應商預留的后門，此類狀況都可能成為攻擊者們組織侵入的契機。如果大家希望自己的工作環(huán)境更加安全，那么首先要清點工作中哪些程序處于運行狀態(tài)，剔除不需要的冗余內(nèi)容，并盡全力保護好其它必要程序。

安全失誤第三位：對異?，F(xiàn)象重視不夠

盡管黑客們能夠在侵入系統(tǒng)的同時最大程度隱匿自己的形跡，但他們?nèi)匀缓茈y做到來去自如而不引發(fā)任何異?，F(xiàn)象。黑客們需要查探網(wǎng)絡狀況，從一臺計算機接入到其它多臺計算機處而不進行任何信息交互?；旧虾诳瓦_成目的的手法還是有一定規(guī)律可循的，因為他們的行動模式與一般終端用戶存在較大差別。

大多數(shù)IT管理員對于網(wǎng)絡活動及活動水平是否正常及合理都沒什么概念，更別提制訂一套基準進行衡量了。如果大家不對正常網(wǎng)絡活動做出定義，在異常情況發(fā)生時我們又該如何識別并及時發(fā)出警告呢？根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報告中的說法，如果受害人對于信息具備一定的控制機制，那么幾乎每一次嚴重的數(shù)據(jù)泄露事件都本有機會被提早發(fā)現(xiàn)或加以預防；然而年復一年，同樣的悲劇仍在不斷上演。

安全失誤第四位：未制定嚴密有效的密碼管理策略

我想大家都知道，高強度密碼（長度較長、內(nèi)容較復雜）及定期密碼更換機制的重要性。我所見過的每一位管理員都信誓旦旦地保證他們使用的密碼強度符合要求，但經(jīng)過實際檢查，我發(fā)現(xiàn)根本不是這么回事。當然，相對于民用級賬戶而言他們的密碼強度也許夠用，但現(xiàn)在我們要討論的是企業(yè)級服務器賬戶、域際賬戶以及其它超級用戶賬戶，在這方面他們的密碼仍然顯得弱不禁風。

我曾提出過這樣一種理論：賬戶的權限越高，密碼強度就會變得越弱，而且密碼定期更換的頻率也就越低。想了解自己制定的密碼管理機制到底夠不夠完善？方法很簡單，發(fā)送一條查詢，看看從最后一次更換密碼到現(xiàn)在，中間間隔了多少天。幾乎可以肯定，大多數(shù)人會發(fā)現(xiàn)自己已經(jīng)有好幾年沒更換過登錄密碼了。

安全失誤第五位：未能及時向用戶公布近期安全威脅

這一點在我看來最為普遍，也最令人頭痛。我們都承認終端用戶是安全保護體系中最薄弱的一環(huán)，但幾乎沒人意識到應該定期向他們公布最新出現(xiàn)的安全威脅。所謂最新出現(xiàn)的安全威脅，是指在過去五年中出現(xiàn)次數(shù)最多、造成影響最大的那些標志性安全問題。令人難以置信的是，大多數(shù)用戶都非常了解電子郵件附件也能成為攻擊活動的載體--要知道，這可是十年之前比較流行的攻擊方式，現(xiàn)在早已經(jīng)過時了。

而每當問起終端用戶是否意識到他們有可能在訪問自己最了解、最信任而且每天都會登錄的網(wǎng)站時被感染，他們的回答總是一片驚呼--是的，對于大多數(shù)終端用戶而言，自己喜愛的站點上的惡意廣告或者主流互聯(lián)網(wǎng)搜索引擎會帶來安全威脅的言論更像是種天方夜譚。他們也不知道，由Facebook上網(wǎng)友發(fā)來的可愛小程序中很可能也包含著惡意內(nèi)容。他們不了解真正的殺毒軟件與只會在屏幕上彈出提示窗口的假冒殺毒軟件有哪些區(qū)別，他們不知道的東西很多，因為我們從沒想過為他們提供系統(tǒng)的指導。

以上提到的五大安全失誤其實根本不具備任何時效性，它們從出現(xiàn)到今天已經(jīng)超過二十年了。真正令我感到震驚的是管理人員對工作現(xiàn)狀的自滿態(tài)度。他們對項目進行檢查，然后將注意力轉(zhuǎn)移到更大更艱巨的任務上來--但實際上，他們精心打造的安全工作環(huán)境甚至不堪一擊。而這一切并不難發(fā)現(xiàn)，只需幾個簡單的問題或者查詢指令，管理員們完全能夠發(fā)現(xiàn)問題所在。

對于所有意識到上述問題的IT管理人員，我要表達自己最誠摯的敬意，至少大家已經(jīng)開始正視這些失誤，這是解決問題的先決條件。保持審慎的工作態(tài)度，我們必將在未來的安全對抗當中占得先機。

【推薦閱讀】

◆IT運維管理專區(qū)

◆別讓打印機成為網(wǎng)絡安全體系中的薄弱環(huán)節(jié)

◆網(wǎng)絡安全管理十大注意事項

◆IT運維管理：企業(yè)網(wǎng)絡安全的研究措施

◆網(wǎng)管軟件專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:39 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：