企业信息安全要务扼杀安全隐患思维导图

情书

2023-02-23

浏览量: 2

安全

隐患

SSL

攻击

VPN

账户

企业

网络

服务器

某个

知识产权

知识产权论文

知识产权法论文

细微的失误往往会导致极大的安全隐患

树图思维导图提供《企业信息安全要务扼杀安全隐患》在线思维导图免费制作，点击“编辑”按钮，可对《企业信息安全要务扼杀安全隐患》进行在线思维导图编辑，本思维导图属于思维导图模板主题，文件编号是：9f5205ab8e1d6f30a36d50aa066f9478

思维导图大纲

1. SSL服务器配置不当

近来似乎已经无法摆脱固有安全性薄弱的坏名声。但是，大多数SSL服务器的问题其实主要出自配置不正确，比如甚至连会话加密的功能都没用到。实际上只有大约五分之一的SSL网站为SSL进行了重写定向以保障验证机制的作用，而大约70%的SSL服务器处理验证的方式仍然是纯文本登录。尤其值得一提的是，半数以上采用的是纯文本密码提交。

以上结论来自SSL实验室所出具的一份全球性SSL调查报告，同时也是Qualys的社区项目。但其内容仍不全面：目前攻击者们完全可以在无需僵尸网络辅助的前提下进行SSL服务器拒绝服务攻击。本周一款新的黑客工具正式发布。有了它，攻击者们能够从一台笔记本或其它计算机上利用SSL重议功能实现面向SSL服务器的DoS攻击。

那些糊里糊涂将SSL重议功能设为启用的机构在这种攻击面前可谓“人为刀俎，我为鱼肉”，而该攻击也以THC-SSL-DOS工具的名头日趋流行。安全专家声称，Web服务器上的SSL重议功能其实没什么实际用处，因此建议大家一律加以禁用就对了。

但nCircle公司安全研究及开发部门经理Tyler Reguly却认为，单纯禁用是种被动的对策，目前仍然没有一套能够抵御攻击的实际解决方案。因为“这就是该协议自身的工作方式，”他评论道。Reguly指出，此类DoS攻击是SSL机制崩坏的又一明证。“我们需要一套更好的机制，”他说。

2. 忽略某个具备高权限却极少使用的账户

许多机构都没有锁定某些能够直接登录的管理账户，这使得攻击者有机可乘。但除此之外，还有不少被忽略掉或是很少使用的高权限账户，它们的存在本身就是安全机制的重大隐患。

一家素以高安全保障机制与管理员账户保护得力著称的财富五百强金融服务公司，近来就被一个长期丢在某台西门子Rolm程控交换机中落灰的区域管理员账户弄得狼狈不堪：这个权限极高的账户是被Trustwave SpiderLabs发现并被用于进行参透测试。小小的疏忽如今却成为攻克企业网络那森严戒备的一枚穿甲弹。他们使用该账户建立克隆的服务台语音信箱，并在求助者来电咨询时通过社交手段获取对应的验证信息。假冒IT服务台工程师的Havelt很轻松就得到了一个VPN用户的用户名及双要素验证令牌的密码，进而完成了VPN连接的长效化工作。

正是上述失误，让整个企业的人力资源、金融与财富管理传输系统以及其它各类敏感信息通通暴露在攻击者面前。

“事情的起因细微且易被忽视，但一旦威胁出现，事态就会像滚雪球那样一发而不可收拾，”Rob Havelt说道。他是Trustwave SpiderLabs的渗透测试部门主管，主要负责为公司的金融服务类客户提供测试服务。“起因往往是这样：万年不变的主题，某个默认账户连带默认密码被遗忘在某处。看起来没什么大不了的，但它迅速扩大……只要我们随便给别人某个级别的访问权限，他们总会发现其中的漏洞。”Havelt建议称，各机构应该审核所有设备，甚至是像PBX这样的遗留系统。“务必确保密码策略的正确执行，”他说道。在前面提到的金融服务公司案例中，PBX系统“归属于”电话沟通部门而非IT部门，这就形成了一个安全方面的断层。“在理想状态下，大家需要为任何能够接入（网络）的事物配备相关负责人，”他补充道。