數(shù)據(jù)防泄露對(duì)于企業(yè)CSO來(lái)說(shuō),是一項(xiàng)必須關(guān)注的技術(shù)。在最近的一份調(diào)查報(bào)告中,研究人員發(fā)現(xiàn)企業(yè)經(jīng)常把過(guò)多的力量投入到解決新出現(xiàn)的安全威脅上,而那些古老的安全漏洞常被忽視,這反而導(dǎo)致了更多的問(wèn)題。
這份報(bào)告來(lái)自Trustwave,是基于對(duì)1900多起數(shù)據(jù)滲透測(cè)試以及超過(guò)200次數(shù)據(jù)破壞做出的分析,受調(diào)查的用戶包括了American Express、MasterCard、Discover、Visa和許多大型零售企業(yè)。
分析表明,這些全球大企業(yè)大都應(yīng)用了“漏洞捕手”這樣的技術(shù)來(lái)尋找最新的漏洞和零日威脅,但是反而忽略了那些長(zhǎng)久以來(lái)就存在著的最常見(jiàn)的漏洞。造成的結(jié)果是企業(yè)們雖然防住了各種新出現(xiàn)的攻擊工具和方法,但是繼續(xù)被那些陳舊的結(jié)構(gòu)簡(jiǎn)單的漏洞所侵害。
舉例來(lái)說(shuō),Trustwave發(fā)現(xiàn)在2009年黑客獲取進(jìn)入企業(yè)網(wǎng)絡(luò)的前三種方式分別是通過(guò)遠(yuǎn)程應(yīng)用,通過(guò)可信任的內(nèi)部網(wǎng)連接,還有SQL注入攻擊。
所有這三種攻擊方式在這幾年里都早已被人們熟知,而且都已經(jīng)被充分的研究過(guò)。以SQL注入攻擊為例,它已經(jīng)至少出現(xiàn)了10年,但目前仍然繼續(xù)廣泛流行在對(duì)各種基于Web的數(shù)據(jù)庫(kù)應(yīng)用的攻擊中。
Trustwave在對(duì)WebSphere和Cold Fusion等Web應(yīng)用引擎做的外部網(wǎng)絡(luò)滲透測(cè)試中發(fā)現(xiàn):那些最常見(jiàn)的漏洞都和管理界面接口有關(guān)。在許多情況下,管理界面可以直接從互聯(lián)網(wǎng)訪問(wèn),幾乎或者根本沒(méi)有密碼保護(hù),這讓攻擊者能夠在Web服務(wù)器上部署自己的惡意應(yīng)用。
那些沒(méi)有受到保護(hù)的網(wǎng)絡(luò)架構(gòu)組件比如路由器、交換機(jī)和VPN集中器等構(gòu)成了第二種最常見(jiàn)的漏洞。許多企業(yè)習(xí)慣于在同一臺(tái)服務(wù)器上同時(shí)安裝內(nèi)部與外部應(yīng)用,這也是另一個(gè)比較普遍的安全漏洞。此外,錯(cuò)誤的配置防火墻規(guī)則,使用默認(rèn)或容易猜測(cè)的密碼以及DNS緩存中毒等在企業(yè)中也較為常見(jiàn)。
同時(shí),Trustwave通過(guò)無(wú)線滲透測(cè)試得出的結(jié)果是很多早該滅絕的漏洞依然在企業(yè)中應(yīng)用著,比如WEP加密,安全控制低下的傳統(tǒng)802.11網(wǎng)絡(luò),還有使用著公共“guest”的無(wú)線客戶端。
Trustwave發(fā)現(xiàn),在幾乎所有的情況下都是那些最常見(jiàn)的漏洞在造成問(wèn)題,而這些問(wèn)題實(shí)際上早就在很久之前就有了解決辦法。
“基本上有兩個(gè)問(wèn)題比較嚴(yán)重”Trustwave SpiderLabs研究室高級(jí)副總裁Nicholas Percoco說(shuō),“一是我們?cè)?009年的研究發(fā)現(xiàn)了一些非常古老的漏洞依然在企業(yè)內(nèi)部存在著,有些已經(jīng)有20年至30年,這有些令人難以置信。”第二個(gè)問(wèn)題是攻擊者會(huì)瞄準(zhǔn)這些老漏洞打入企業(yè),然后使用越來(lái)越先進(jìn)的工具捕獲企業(yè)數(shù)據(jù)。Percoco說(shuō),除了更古老的鍵盤記錄和數(shù)據(jù)包嗅探工具之外,惡意攻擊者也越來(lái)越多地采用如內(nèi)存分析器等先進(jìn)工具來(lái)竊取數(shù)據(jù)。51CTO記者認(rèn)為,在中國(guó)的情況并非如此,由于中國(guó)企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施相對(duì)國(guó)外,普及時(shí)間比較晚,尤其是信息安全建設(shè)方面,更是近些年才意識(shí)到數(shù)據(jù)安全的重要性,所以與下面國(guó)外專家建議的做法不同的是,51CTO安全頻道建議廣大中國(guó)企業(yè)用戶能夠先提高安全防范和管理意識(shí),這樣才能促使我們的信息安全產(chǎn)業(yè)和企業(yè)網(wǎng)絡(luò)安全得以最大限度的保障,避免出現(xiàn)更多的悲劇。
Trustwave的報(bào)告中說(shuō)企業(yè)可以采取一些措施來(lái)減輕這些陳舊的和常常被忽視的漏洞所帶來(lái)的危害。步驟之一是維護(hù)一個(gè)完整的資產(chǎn)清單,許多企業(yè)往往對(duì)IT資產(chǎn)可能會(huì)對(duì)企業(yè)數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn)缺乏意識(shí),因此時(shí)刻保持最新的資產(chǎn)清單對(duì)保護(hù)數(shù)據(jù)是至關(guān)重要的。
盡量清除掉那些陳舊的系統(tǒng)也可以幫助降低風(fēng)險(xiǎn)。此外,Trustwave的研究發(fā)現(xiàn)有80%的案例中的漏洞和第三方有關(guān)。因此,加強(qiáng)對(duì)第三方的監(jiān)控管理也是關(guān)鍵的步驟。其他報(bào)告中建議的措施還包括內(nèi)部網(wǎng)絡(luò)分片、數(shù)據(jù)加密和加強(qiáng)Wi-Fi安全策略等。
