内部安全从工作站抓起
安全专家通常发现,不起眼的工作站往往正是工作场所安全当中最薄弱的环节。 很多攻击事件就是通过入侵企业里面的工作站来破坏其数据资产的完整性。这是因为大多数组织采用同类环境,而且大多数组织未能采取安全措施防范攻击。没错,许多组织通常部署了专业的
安全专家通常发现,不起眼的工作站往往正是工作场所
安全当中最薄弱的环节。
很多攻击事件就是通过入侵企业里面的工作站来破坏其数据资产的完整性。这是因为大多数组织采用同类环境,而且大多数组织未能采取安全措施防范攻击。没错,许多组织通常部署了专业的边界防御系统,包括面向因特网的安全配置服务,可遗憾的是,一台台工作站并不安全。
安全人员经常能够发现内部安全存在的这类漏洞。譬如,安全人员完成
安全评估或者道德黑客攻击(ethical hacking)演练之后,最后一步就是提交最终报告。这免不了会显露往往牵涉边界电子邮件防御系统及工作站配置方式的一系列问题。
典型的道德黑客攻击报告中含有大量高度机密的
资料,其中包括成功侵入重要主机所用的漏洞检测代码(exploit code)的样本。不仅仅客户的网关防病毒系统或内容过滤系统会对报告中的文本作出反应,而且
资料的机密性意味着,资料必须采用某种方式进行加密。因而,资料往往遭到防御系统的拒绝,永远也到不了目的接收方。此时,有人就开始喜欢设法绕开这些边界防御系统。幸运的是,防御系统往往存在足够多的漏洞,以便
测试报告安全通过。遗憾的是,别人也能轻而易举地同样这么做。
几乎无一例外的是,不管对电子邮件的附件采取了什么策略,内部总有人知道如何绕开组织的安全配置。把含有可执行内容(譬如自解密的PGP文件)的电子邮件发到公司的“技术人员”特别容易,因为这些人往往知道如何绕开自己的系统。这种规避机制包括对文件扩展名进行简单的改名,或者把可执行内容加入到受口令保护的ZIP文件里面。这里要强调的是,可执行代码畅通无阻地发送到工作站用户可谓小菜一碟,从而为攻击者通过边界防御系统、内部执行所嵌入内容提供了可趁之机。
无论恶意内容的执行是由于用户有意绕过边界防御系统、由于通过普通
网络浏览器发动的嵌入在HTML的各种内容攻击(譬如跨站脚本执行),还是由于大多数组织里面的任何普通工作站应用软件存在的安全漏洞,安全机制不够的工作站迅速成了对公司内部安全构成最大威胁的隐患。
但在连有1000台工作站的一个网络中,可能只有少数一部分上面有机密资料。问题在于,要找出这些少数者其实相当容易。只要找到款式最新、速度最快、功能最强的计算机就行,因为它们几乎肯定属于公司账号方面享有特权的管理人员和高级用户(power user)。这些用户还往往轻视大多数安全策略,这样一来,这些系统就更容易成为攻击目标。
虽然许多组织总是把重点放在了关键的
服务器上面,但参加过多次内部安全评估的人士发现,访问公司重要资源最简单的途径几乎总是不起眼的工作站。一般而言,工作站环境越是庞大,受到威胁的可能性就越高。
公司的工作站环境势必要求大部分系统的配置几乎一模一样,并且采用同样的应用软件套件。这意味着,它们同样作为一个单位加以集中管理,包括同一本地管理员口令账号、同一共享机制和网络映射、同一补丁级别以及同一防御配置。因而,倘若一个工作站的安全受到危胁,就会导致整个环境的完整性荡然无存。
尽管组织往往把保护内部资源的重任交给边界防御系统,但常常未把预算分配给功能日益强大、安全日益重要的工作站。遗憾的是,由于缺乏严格的安全执行、监控及用户
培训,普通工作站的入侵日益成为发动恶性攻击的最简单方法。贵公司的工作站又有多安全呢?
提高工作站安全的方法
● 采用合理的指导准则,加强工作站系统的安全,只安装公司正常运行所需的最少数量的软件。
● 打上所有相关的安全补丁。一旦出现新补丁,就立即予以更新。
● 确保所有工作站用户接受了因特网安全
知识培训,知道自己可能会遭到哪几种危胁。
● 部署工作站级别的防御系统,包括防病毒、防火墙、内容过滤、流量出站封阻以及IDS技术。
● 定期利用漏洞扫描器扫描工作站环境,以便迅速找出不安全或已受到入侵的主机。
(出处:中国计算机报)
原文转自:http://www.ltesting.net
|