設(shè)備齊全、策略完善,為什么黑客還能輕松找到安全漏洞?
01安全意識(shí)疏忽
1、弱口令(默認(rèn)口令)
弱口令,即安全系數(shù)比較低的密碼。容易被別人猜到或者被工具破解出來(lái)的口令皆為弱口令,直到現(xiàn)在,弱口令破解仍是黑客最常用的攻擊手段之一。
默認(rèn)口令,顧名思義,當(dāng)服務(wù)器上部署對(duì)外服務(wù)或設(shè)備時(shí),采用出廠默認(rèn)口令,一旦被黑客發(fā)現(xiàn)該資產(chǎn),則面臨直接被獲取權(quán)限的風(fēng)險(xiǎn)。
2、下載或點(diǎn)擊不明鏈接及郵件附件
釣魚(yú)郵件是目前黑客最常用的社工手段之一。黑客通過(guò)偽造身份,發(fā)送釣魚(yú)郵件給企業(yè)員工,例如偽裝成郵箱管理員仿造企業(yè)通知,下發(fā)惡意鏈接或惡意附件給企業(yè)員工。很多安全意識(shí)不夠高的員工在沒(méi)有確認(rèn)郵件是否真實(shí)有效的情況下,點(diǎn)擊訪問(wèn)不明鏈接及郵箱附件,導(dǎo)致黑客成功入侵。
02安全策略不嚴(yán)謹(jǐn)
1、管理端口對(duì)外開(kāi)放
為了便于運(yùn)維管理,服務(wù)器會(huì)對(duì)外開(kāi)放默認(rèn)遠(yuǎn)程端口(如22、3389等),若防火墻等安全設(shè)備策略未嚴(yán)格限制,將導(dǎo)致黑客有“縫”可入。
2、未授權(quán)訪問(wèn)
在服務(wù)器上部署的服務(wù)或數(shù)據(jù)庫(kù)未設(shè)置有效的身份驗(yàn)證機(jī)制,導(dǎo)致被黑客利用從而獲取服務(wù)器權(quán)限。如Redis未授權(quán)訪問(wèn)漏洞就是由于在安裝Redis數(shù)據(jù)庫(kù)時(shí)未設(shè)置賬戶密碼,黑客能夠直接訪問(wèn)Redis數(shù)據(jù)庫(kù)并通過(guò)Redis數(shù)據(jù)庫(kù)在服務(wù)器中寫入計(jì)時(shí)任務(wù),自動(dòng)執(zhí)行命令反彈shell,從而致使服務(wù)器淪陷。
3、敏感信息泄露
為了數(shù)據(jù)備份,管理員會(huì)針對(duì)網(wǎng)站的數(shù)據(jù)、源碼、密碼等信息設(shè)置備份文件,但若配置不當(dāng),則會(huì)導(dǎo)致備份文件、網(wǎng)站設(shè)置文件、用戶信息等敏感數(shù)據(jù)可能被黑客下載訪問(wèn),從而造成數(shù)據(jù)泄露。
03安全管理不當(dāng)
1、系統(tǒng)框架老舊
隨著互聯(lián)網(wǎng)產(chǎn)品應(yīng)用的不斷更新迭代,很多舊版本的操作系統(tǒng)、網(wǎng)站框架、組件都存在不少歷史漏洞,這些歷史漏洞往往需要更新組件或補(bǔ)丁來(lái)進(jìn)行安全修復(fù)。例如Apache Shiro,作為一個(gè)強(qiáng)大且易用的Java安全框架,能夠執(zhí)行身份驗(yàn)證、授權(quán)、密碼和會(huì)話管理等功能,但低版本的Shiro框架存在反序列化漏洞,黑客可以直接利用并對(duì)服務(wù)器進(jìn)行遠(yuǎn)程命令執(zhí)行。
2、內(nèi)網(wǎng)安全的忽視
VPN和隧道代理技術(shù)興起后,內(nèi)網(wǎng)安全的重要程度也隨之大幅提升。黑客通過(guò)外網(wǎng)的資產(chǎn)或者釣魚(yú)攻擊攻克下一臺(tái)內(nèi)網(wǎng)服務(wù)器后,即可通過(guò)隧道代理的技術(shù)進(jìn)入企業(yè)內(nèi)網(wǎng)橫向移動(dòng),如果內(nèi)網(wǎng)存在多處可利用漏洞,將導(dǎo)致整個(gè)企業(yè)內(nèi)網(wǎng)的癱瘓淪陷。
04總結(jié)
在當(dāng)前時(shí)代背景下,網(wǎng)絡(luò)安全極為重要。無(wú)論是對(duì)內(nèi)部員工的安全意識(shí)培訓(xùn),還是對(duì)安全架構(gòu)的建設(shè)與管理,都是企業(yè)需要加強(qiáng)關(guān)注的環(huán)節(jié)。同時(shí),在抵御網(wǎng)絡(luò)攻擊的過(guò)程中,企業(yè)除了要從上述各方面切入,建立更為嚴(yán)謹(jǐn)?shù)牟僮饕?guī)范,還可引入專業(yè)安全廠商的力量,從更多維度驗(yàn)證現(xiàn)有安全體系的防護(hù)能力。
天融信安全服務(wù)團(tuán)隊(duì),不僅能夠結(jié)合多年服務(wù)經(jīng)驗(yàn),為客戶組織更加貼合實(shí)際安全場(chǎng)景的各類意識(shí)培訓(xùn);更能夠從客戶行業(yè)特點(diǎn)出發(fā),提供多維度、多層級(jí)的專業(yè)安全服務(wù)。幫助客戶在日常運(yùn)維管理中不斷加強(qiáng)安全運(yùn)營(yíng)能力,全面提升安全防御力。
