企業網絡安全管理中漏洞探析
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了企業網絡安全管理中漏洞探析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:本文從中小企業信息安全管理和防范角度出發,探討一些新型的社會工程學攻擊方法,并從中小型企業管理特性角度分析企業為何容易受到社會工程學攻擊,并提出相應的解決方案及策略。
關鍵詞:信息安全;社會工程學;企業管理
0引言
為保障信息系統及網絡的安全,企業往往投入大力氣和大成本進行信息安全建設,由于企業管理的特點,公司信息安全投入都集中在信息安全設備及信息安全防護系統的搭建上,通過網絡架構設計、入口管理、防火墻、備份設備、安全、審計、行為管理等設備通過技術手段來防范攻擊。通過技術手段進行安全防護基本可以防范絕大部分隨機攻擊者的正面入侵行為,但對企業來說,這種防護手段很難防范來自競爭者或其他惡意組織或個人以獲取商業秘密或數據為目的APT(AdvancedPersistentThreat)攻擊。利用社會工程學進行APT攻擊,往往是難度最低、效果最好的攻擊手段。對企業安全管理者說,狹義的或常見的社會工程學攻擊方式,如通過QQ、電話等方式偽裝來騙取公司基礎數據的社會工程學手段早已熟知,且較易于防范,但利用移動設備、大數據、社交網絡進行社會工程學攻擊卻較難防范。社會工程學最早由KevinDavidMitnick在《欺騙的藝術》一書中提出,該種攻擊的核心是一種針對“人”的非傳統信息安全領域的入侵手段。但是,隨著技術的進步與發展社會工程學攻擊的外延也在逐步擴展,至今也并沒有一個統一的、完備的定義。由于互聯網技術的快速發展,社會工程學攻擊手段所涵蓋的方面更加廣泛,通過與大數據技術、社交網絡、人的因素相結合,毫不夸張地說,只要進行充分的準備,通過社會工程學可以“黑”掉大部分的企業網站和系統。
1企業常見管理漏洞分析
1.1績效管理驅動,造成企業安全管理重心偏離
一般企業管理均采用績效考核、目標管理等方法進行管理。由于目標管理法的特點,企業在年初制訂績效目標時應有具體目標和內容,當涉及信息安全事項時往往只強調結果、不強調路徑,如“本年度不發生失、泄密事件”、“本年度因XX原因導致的服務器終止服務時間小于X小時”等指標類目標。而往往對采購、技改類則較為明確,如“本年度完成XX設備采購、完成XX系統升級”等節點類目標。需過程管控的、路徑不太明確的工作目標在分解工作時易造成漏項、考慮不周,在工作中難以明確工作結果,并且很難進行日常管控。管理者在對待此類工作時會存在只要不發生事故多做、少做都一樣,不影響年終考核的僥幸心理。實施、建設類工作由于其任務十分明確,完成辨識度高,一般是企業優先開展的工作。信息泄露防范工作由于管理難度大、泄露因素眾多且攻擊隱蔽性強等特點,經常不被企業管理者重視。而且很多企業在信息泄漏后并不知道信息已經被泄露,很長一段時間不會采取相關措施。
1.2信息安全管理能力不足,導致一般企業易受攻擊
由于企業性質和規模,除總部公司、大型公司、網絡相關公司外,中小型企業不會招聘專業的從事網絡安全攻擊測試的技術人員進行網絡安全管理。即使是掌握企業安全防護理論知識的信息安全執業人員,對新的攻擊手段、非常規的攻擊手段的防護能力也較弱。一般來說,很多公司通過采購設備或外包服務等方式,通過安全設備、網絡出入口、終端設備、制度進行管理,重點防范服務器、核心網絡不被正面攻破、系統不被癱瘓、數據不會丟失。但由于企業管理人員管理水平有限,一些黑客在獲取網站Webshell或系統權限后長期竊取企業信息,企業管理人員根本無法發現,造成大量數據泄漏。
1.3全員防范意識薄弱,導致信息安全工作失效
相對企業信息安全管理部門及人員來說,企業的普通員工往往對信息安全認識程度不夠、對信息安全的認識、防范手段不了解。一些員工對企業已進行信息安全防護手段不認同、不配合,甚至進行抵制,通過公司網絡進行網絡社交、使用公司郵箱隨意發送私人郵件、申請注冊網絡服務、用內網計算機進行違規操作,甚至一些員工通過在百度文庫網上共享文檔平臺企業內部資料來獲取積分,這些行為都給網絡攻擊帶來機會;此外,企業在制訂員工賬號時會配置默認密碼,許多員工從來不進行修改,即使修改也是易被破解的弱口令。
1.4個人移動設備隱患,風險從企業外部帶入內部
個人移動設備是指攜帶自己的移動設備,如筆記本電腦、移動硬盤、智能手機等設備,這些設備由于員工個人使用等原因經常接入不同的網絡環境,相對公司固定計算機而言更容易被黑客攻擊,一旦接入公司內網,會造成很大的風險。現在智能手機幾乎是人手必備的設備,但對手機防護的企業級應用較少,成為安全隱患和風險。
1.5為了使用便捷,犧牲安全管理
企業信息安全管理、規定和規范使用流程經常與使用方便、便捷相矛盾,在部署信息安全系統、防護措施及其制度時信息安全管理人員經常會平衡、變通地考慮這些問題,這些變通手段往往會降低公司安全防護等級。一般情況下,企業領導的賬號經常是黑客的突破口,因為企業領導賬號權限較高,且由于領導工作較為繁忙,密碼通常比較簡單。
1.6企業防護測試忽視社會工程學測試
很多企業會邀請安全廠商或技術團隊對企業網站、系統進行攻擊測試,這些測試基本以正面攻擊、DDOS攻擊為主,較容易測得系統的壓力數據,也比較容易暴露一些系統漏洞,效果較好。但由于社會工程學攻擊可攻擊點較多,單次攻擊所反饋的問題并不一定能反饋出企業管理的核心漏洞,整改難度較大。比如攻擊者通過弱口令進入企業管理系統,但背后的原因往往很多且具隨機性。
2一些利用企業管理漏洞的新型社會工程學攻擊
2.1傳統的社會工程學攻擊
傳統的社會工程學攻擊是指利用欺騙的手段獲取企業員工信任,從而套取信息。這類手段較易防范,一般企業經常會遇到類似攻擊。通過做好培訓宣傳,提高員工信息安全意識,均可有效防范。但傳統社會工程學攻擊也有很多變種,如一些員工將系統賬號密碼張貼在員工工位顯眼的位置上,被攻擊者偽裝成快遞人員偷拍記錄或一些攻擊者故意在辦公場所附近丟棄含木馬U盤等,這都需企業加強防范。
2.2基于企業失、泄密信息的攻擊
一些企業不重視企業資料的保管、保存,導致企業資料,尤其是系統用戶使用文檔在網上泄露,給攻擊者帶來可乘之機,一些攻擊者僅通過百度文庫等網站就可獲取大量企業信息系統建設藍圖、網絡架構圖、甚至包含管理員、用戶賬號的內部文件,進而順藤摸瓜登錄企業內網、乃至登錄管理員賬戶。
2.3利用大數據進行攻擊
大數據攻擊是利用各大網站泄露的用戶名、密碼數據庫來破解企業管理員賬號密碼從而獲取內網進入許可或獲取系統管理權限的社會工程學攻擊手段。基本的入侵手法是尋找網絡邊界入口,再通過社交網絡渠道了解企業管理員郵箱公開賬號等信息,通過龐大的社工庫來獲取入侵網絡的賬號密碼。在國內各大互聯網企業數據庫中,鳳凰網新聞黑客社區曝出一個87GB的龐大數據庫,其中包括大約7.73億個電子郵件地址、以及2100萬組密碼,單就郵件地址來說就占據當時全球郵件總數的1/5;另外,一些企業的用戶賬號均以名字來命名,一些黑客可使用中國常用名數據庫+弱口令對數據庫進行爆破,只要其中有一個賬號存在弱口令,系統就會被攻破。
2.4泄露WiFi登錄信息導致內網暴露
一些員工為了可在公共場所蹭網,會安裝WiFi萬能密碼、WiFi鑰匙等手機APP,這種類型的程序在為用戶分享公共場所WiFi密碼時也在獲取該用戶登錄過的私人或辦公場所WiFi。很多攻擊者會在該公司附近通過WiFi萬能密碼這類軟件登錄公司內網系統、獲取公司網關地址,從而推斷出公司內網系統地址、服務器地址等,使公司千方百計打造的網絡隔離失效。這種攻擊方式比較新穎且很多企業安全管理員沒有意識到這種漏洞,較難防范。
3企業防范手段
綜上,企業信息安全管理中設備、技術層面的管理較易實現和操作,而與人相關的管理則較難于操作,這就導致“欺騙的藝術”———社會工程學攻擊往往成為攻擊企業的最好辦法,企業可通過以下幾種手段防范社會工程學攻擊。
3.1企業賬號公私分明
不通過企業郵箱處理任何個人業務,不用企業郵箱注冊社交、游戲、購物等網站,不用企業郵箱作為密碼找回的郵箱。個人私有賬號與企業業務賬號實現密碼隔離,不使用一樣的密碼。
3.2加強培訓
定期對企業員工進行培訓,普及常見的社會工程學防范知識,讓員工了解哪些行為容易被攻擊、哪些跡象表明企業已遭受攻擊。通過員工日常自發檢查個人賬號、密碼、行為、環境中的薄弱點。從使用者的角度發現問題,要比企業信息安全人員檢查高效得多。
3.3文檔不記錄賬號密碼
社會工程學攻擊很依賴于信息的連貫性和連接性,通過在企業最外層的低風險弱點層層深入。很多時候,攻擊者會從單個破解的企業郵箱內找到企業系統管理文檔,依靠此信息登錄企業更深層系統。不在企業常規文檔、網頁注釋、系統使用手冊中寫明具體登錄賬號密碼,可在很大程度上防范社會工程學攻擊。
3.4綁定額外驗證措施
很多公司互聯網邊界、VPN登錄入口、內部系統登錄入口不設額外驗證措施,攻擊者通過暴力破解手段很容易獲取登錄密碼。如在各個系統登錄界面中加入驗證碼、證書、短信等額外驗證手段,基本就可防范這種類型的入侵。
3.5防范弱口令
很多企業管理者把弱口令簡單地理解為123456、888888這種類型的密碼。但實際上任何有規律的密碼如賬號本身、賬號名字+后綴、單詞都可稱為弱口令,更深一層來說只要是通過大數據社工庫里總結出的常用密碼都可稱為弱口令,企業核心系統管理密碼都應避開這些密碼。
3.6安裝文件加密系統
在企業內部加裝文件加密系統、在企業內備案計算機中安裝加解密終端并做好分級防護,嚴控文件解密流程,即使由于各種原因流出企業,也能一定程度確保文件無法被瀏覽。
作者:吳非 單位:中車軌道交通建設投資有限公司
