企業(yè)網(wǎng)絡(luò)安全管理中漏洞探析

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了企業(yè)網(wǎng)絡(luò)安全管理中漏洞探析范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：本文從中小企業(yè)信息安全管理和防范角度出發(fā)，探討一些新型的社會工程學(xué)攻擊方法，并從中小型企業(yè)管理特性角度分析企業(yè)為何容易受到社會工程學(xué)攻擊，并提出相應(yīng)的解決方案及策略。

關(guān)鍵詞：信息安全；社會工程學(xué)；企業(yè)管理

0引言

為保障信息系統(tǒng)及網(wǎng)絡(luò)的安全，企業(yè)往往投入大力氣和大成本進行信息安全建設(shè)，由于企業(yè)管理的特點，公司信息安全投入都集中在信息安全設(shè)備及信息安全防護系統(tǒng)的搭建上，通過網(wǎng)絡(luò)架構(gòu)設(shè)計、入口管理、防火墻、備份設(shè)備、安全、審計、行為管理等設(shè)備通過技術(shù)手段來防范攻擊。通過技術(shù)手段進行安全防護基本可以防范絕大部分隨機攻擊者的正面入侵行為，但對企業(yè)來說，這種防護手段很難防范來自競爭者或其他惡意組織或個人以獲取商業(yè)秘密或數(shù)據(jù)為目的APT（AdvancedPersistentThreat）攻擊。利用社會工程學(xué)進行APT攻擊，往往是難度最低、效果最好的攻擊手段。對企業(yè)安全管理者說，狹義的或常見的社會工程學(xué)攻擊方式，如通過QQ、電話等方式偽裝來騙取公司基礎(chǔ)數(shù)據(jù)的社會工程學(xué)手段早已熟知，且較易于防范，但利用移動設(shè)備、大數(shù)據(jù)、社交網(wǎng)絡(luò)進行社會工程學(xué)攻擊卻較難防范。社會工程學(xué)最早由KevinDavidMitnick在《欺騙的藝術(shù)》一書中提出，該種攻擊的核心是一種針對“人”的非傳統(tǒng)信息安全領(lǐng)域的入侵手段。但是，隨著技術(shù)的進步與發(fā)展社會工程學(xué)攻擊的外延也在逐步擴展，至今也并沒有一個統(tǒng)一的、完備的定義。由于互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，社會工程學(xué)攻擊手段所涵蓋的方面更加廣泛，通過與大數(shù)據(jù)技術(shù)、社交網(wǎng)絡(luò)、人的因素相結(jié)合，毫不夸張地說，只要進行充分的準(zhǔn)備，通過社會工程學(xué)可以“黑”掉大部分的企業(yè)網(wǎng)站和系統(tǒng)。

1企業(yè)常見管理漏洞分析

1.1績效管理驅(qū)動，造成企業(yè)安全管理重心偏離

一般企業(yè)管理均采用績效考核、目標(biāo)管理等方法進行管理。由于目標(biāo)管理法的特點，企業(yè)在年初制訂績效目標(biāo)時應(yīng)有具體目標(biāo)和內(nèi)容，當(dāng)涉及信息安全事項時往往只強調(diào)結(jié)果、不強調(diào)路徑，如“本年度不發(fā)生失、泄密事件”、“本年度因XX原因?qū)е碌姆?wù)器終止服務(wù)時間小于X小時”等指標(biāo)類目標(biāo)。而往往對采購、技改類則較為明確，如“本年度完成XX設(shè)備采購、完成XX系統(tǒng)升級”等節(jié)點類目標(biāo)。需過程管控的、路徑不太明確的工作目標(biāo)在分解工作時易造成漏項、考慮不周，在工作中難以明確工作結(jié)果，并且很難進行日常管控。管理者在對待此類工作時會存在只要不發(fā)生事故多做、少做都一樣，不影響年終考核的僥幸心理。實施、建設(shè)類工作由于其任務(wù)十分明確，完成辨識度高，一般是企業(yè)優(yōu)先開展的工作。信息泄露防范工作由于管理難度大、泄露因素眾多且攻擊隱蔽性強等特點，經(jīng)常不被企業(yè)管理者重視。而且很多企業(yè)在信息泄漏后并不知道信息已經(jīng)被泄露，很長一段時間不會采取相關(guān)措施。

1.2信息安全管理能力不足，導(dǎo)致一般企業(yè)易受攻擊

由于企業(yè)性質(zhì)和規(guī)模，除總部公司、大型公司、網(wǎng)絡(luò)相關(guān)公司外，中小型企業(yè)不會招聘專業(yè)的從事網(wǎng)絡(luò)安全攻擊測試的技術(shù)人員進行網(wǎng)絡(luò)安全管理。即使是掌握企業(yè)安全防護理論知識的信息安全執(zhí)業(yè)人員，對新的攻擊手段、非常規(guī)的攻擊手段的防護能力也較弱。一般來說，很多公司通過采購設(shè)備或外包服務(wù)等方式，通過安全設(shè)備、網(wǎng)絡(luò)出入口、終端設(shè)備、制度進行管理，重點防范服務(wù)器、核心網(wǎng)絡(luò)不被正面攻破、系統(tǒng)不被癱瘓、數(shù)據(jù)不會丟失。但由于企業(yè)管理人員管理水平有限，一些黑客在獲取網(wǎng)站W(wǎng)ebshell或系統(tǒng)權(quán)限后長期竊取企業(yè)信息，企業(yè)管理人員根本無法發(fā)現(xiàn)，造成大量數(shù)據(jù)泄漏。

1.3全員防范意識薄弱，導(dǎo)致信息安全工作失效

相對企業(yè)信息安全管理部門及人員來說，企業(yè)的普通員工往往對信息安全認識程度不夠、對信息安全的認識、防范手段不了解。一些員工對企業(yè)已進行信息安全防護手段不認同、不配合，甚至進行抵制，通過公司網(wǎng)絡(luò)進行網(wǎng)絡(luò)社交、使用公司郵箱隨意發(fā)送私人郵件、申請注冊網(wǎng)絡(luò)服務(wù)、用內(nèi)網(wǎng)計算機進行違規(guī)操作，甚至一些員工通過在百度文庫網(wǎng)上共享文檔平臺企業(yè)內(nèi)部資料來獲取積分，這些行為都給網(wǎng)絡(luò)攻擊帶來機會；此外，企業(yè)在制訂員工賬號時會配置默認密碼，許多員工從來不進行修改，即使修改也是易被破解的弱口令。

1.4個人移動設(shè)備隱患，風(fēng)險從企業(yè)外部帶入內(nèi)部

個人移動設(shè)備是指攜帶自己的移動設(shè)備，如筆記本電腦、移動硬盤、智能手機等設(shè)備，這些設(shè)備由于員工個人使用等原因經(jīng)常接入不同的網(wǎng)絡(luò)環(huán)境，相對公司固定計算機而言更容易被黑客攻擊，一旦接入公司內(nèi)網(wǎng)，會造成很大的風(fēng)險。現(xiàn)在智能手機幾乎是人手必備的設(shè)備，但對手機防護的企業(yè)級應(yīng)用較少，成為安全隱患和風(fēng)險。

1.5為了使用便捷，犧牲安全管理

企業(yè)信息安全管理、規(guī)定和規(guī)范使用流程經(jīng)常與使用方便、便捷相矛盾，在部署信息安全系統(tǒng)、防護措施及其制度時信息安全管理人員經(jīng)常會平衡、變通地考慮這些問題，這些變通手段往往會降低公司安全防護等級。一般情況下，企業(yè)領(lǐng)導(dǎo)的賬號經(jīng)常是黑客的突破口，因為企業(yè)領(lǐng)導(dǎo)賬號權(quán)限較高，且由于領(lǐng)導(dǎo)工作較為繁忙，密碼通常比較簡單。

1.6企業(yè)防護測試忽視社會工程學(xué)測試

很多企業(yè)會邀請安全廠商或技術(shù)團隊對企業(yè)網(wǎng)站、系統(tǒng)進行攻擊測試，這些測試基本以正面攻擊、DDOS攻擊為主，較容易測得系統(tǒng)的壓力數(shù)據(jù)，也比較容易暴露一些系統(tǒng)漏洞，效果較好。但由于社會工程學(xué)攻擊可攻擊點較多，單次攻擊所反饋的問題并不一定能反饋出企業(yè)管理的核心漏洞，整改難度較大。比如攻擊者通過弱口令進入企業(yè)管理系統(tǒng)，但背后的原因往往很多且具隨機性。

2一些利用企業(yè)管理漏洞的新型社會工程學(xué)攻擊

2.1傳統(tǒng)的社會工程學(xué)攻擊

傳統(tǒng)的社會工程學(xué)攻擊是指利用欺騙的手段獲取企業(yè)員工信任，從而套取信息。這類手段較易防范，一般企業(yè)經(jīng)常會遇到類似攻擊。通過做好培訓(xùn)宣傳，提高員工信息安全意識，均可有效防范。但傳統(tǒng)社會工程學(xué)攻擊也有很多變種，如一些員工將系統(tǒng)賬號密碼張貼在員工工位顯眼的位置上，被攻擊者偽裝成快遞人員偷拍記錄或一些攻擊者故意在辦公場所附近丟棄含木馬U盤等，這都需企業(yè)加強防范。

2.2基于企業(yè)失、泄密信息的攻擊

一些企業(yè)不重視企業(yè)資料的保管、保存，導(dǎo)致企業(yè)資料，尤其是系統(tǒng)用戶使用文檔在網(wǎng)上泄露，給攻擊者帶來可乘之機，一些攻擊者僅通過百度文庫等網(wǎng)站就可獲取大量企業(yè)信息系統(tǒng)建設(shè)藍圖、網(wǎng)絡(luò)架構(gòu)圖、甚至包含管理員、用戶賬號的內(nèi)部文件，進而順藤摸瓜登錄企業(yè)內(nèi)網(wǎng)、乃至登錄管理員賬戶。

2.3利用大數(shù)據(jù)進行攻擊

大數(shù)據(jù)攻擊是利用各大網(wǎng)站泄露的用戶名、密碼數(shù)據(jù)庫來破解企業(yè)管理員賬號密碼從而獲取內(nèi)網(wǎng)進入許可或獲取系統(tǒng)管理權(quán)限的社會工程學(xué)攻擊手段。基本的入侵手法是尋找網(wǎng)絡(luò)邊界入口，再通過社交網(wǎng)絡(luò)渠道了解企業(yè)管理員郵箱公開賬號等信息，通過龐大的社工庫來獲取入侵網(wǎng)絡(luò)的賬號密碼。在國內(nèi)各大互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)庫中，鳳凰網(wǎng)新聞黑客社區(qū)曝出一個87GB的龐大數(shù)據(jù)庫，其中包括大約7.73億個電子郵件地址、以及2100萬組密碼，單就郵件地址來說就占據(jù)當(dāng)時全球郵件總數(shù)的1/5；另外，一些企業(yè)的用戶賬號均以名字來命名，一些黑客可使用中國常用名數(shù)據(jù)庫+弱口令對數(shù)據(jù)庫進行爆破，只要其中有一個賬號存在弱口令，系統(tǒng)就會被攻破。

2.4泄露WiFi登錄信息導(dǎo)致內(nèi)網(wǎng)暴露

一些員工為了可在公共場所蹭網(wǎng)，會安裝WiFi萬能密碼、WiFi鑰匙等手機APP，這種類型的程序在為用戶分享公共場所WiFi密碼時也在獲取該用戶登錄過的私人或辦公場所WiFi。很多攻擊者會在該公司附近通過WiFi萬能密碼這類軟件登錄公司內(nèi)網(wǎng)系統(tǒng)、獲取公司網(wǎng)關(guān)地址，從而推斷出公司內(nèi)網(wǎng)系統(tǒng)地址、服務(wù)器地址等，使公司千方百計打造的網(wǎng)絡(luò)隔離失效。這種攻擊方式比較新穎且很多企業(yè)安全管理員沒有意識到這種漏洞，較難防范。

3企業(yè)防范手段

綜上，企業(yè)信息安全管理中設(shè)備、技術(shù)層面的管理較易實現(xiàn)和操作，而與人相關(guān)的管理則較難于操作，這就導(dǎo)致“欺騙的藝術(shù)”———社會工程學(xué)攻擊往往成為攻擊企業(yè)的最好辦法，企業(yè)可通過以下幾種手段防范社會工程學(xué)攻擊。

3.1企業(yè)賬號公私分明

不通過企業(yè)郵箱處理任何個人業(yè)務(wù)，不用企業(yè)郵箱注冊社交、游戲、購物等網(wǎng)站，不用企業(yè)郵箱作為密碼找回的郵箱。個人私有賬號與企業(yè)業(yè)務(wù)賬號實現(xiàn)密碼隔離，不使用一樣的密碼。

3.2加強培訓(xùn)

定期對企業(yè)員工進行培訓(xùn)，普及常見的社會工程學(xué)防范知識，讓員工了解哪些行為容易被攻擊、哪些跡象表明企業(yè)已遭受攻擊。通過員工日常自發(fā)檢查個人賬號、密碼、行為、環(huán)境中的薄弱點。從使用者的角度發(fā)現(xiàn)問題，要比企業(yè)信息安全人員檢查高效得多。

3.3文檔不記錄賬號密碼

社會工程學(xué)攻擊很依賴于信息的連貫性和連接性，通過在企業(yè)最外層的低風(fēng)險弱點層層深入。很多時候，攻擊者會從單個破解的企業(yè)郵箱內(nèi)找到企業(yè)系統(tǒng)管理文檔，依靠此信息登錄企業(yè)更深層系統(tǒng)。不在企業(yè)常規(guī)文檔、網(wǎng)頁注釋、系統(tǒng)使用手冊中寫明具體登錄賬號密碼，可在很大程度上防范社會工程學(xué)攻擊。

3.4綁定額外驗證措施

很多公司互聯(lián)網(wǎng)邊界、VPN登錄入口、內(nèi)部系統(tǒng)登錄入口不設(shè)額外驗證措施，攻擊者通過暴力破解手段很容易獲取登錄密碼。如在各個系統(tǒng)登錄界面中加入驗證碼、證書、短信等額外驗證手段，基本就可防范這種類型的入侵。

3.5防范弱口令

很多企業(yè)管理者把弱口令簡單地理解為123456、888888這種類型的密碼。但實際上任何有規(guī)律的密碼如賬號本身、賬號名字+后綴、單詞都可稱為弱口令，更深一層來說只要是通過大數(shù)據(jù)社工庫里總結(jié)出的常用密碼都可稱為弱口令，企業(yè)核心系統(tǒng)管理密碼都應(yīng)避開這些密碼。

3.6安裝文件加密系統(tǒng)

在企業(yè)內(nèi)部加裝文件加密系統(tǒng)、在企業(yè)內(nèi)備案計算機中安裝加解密終端并做好分級防護，嚴(yán)控文件解密流程，即使由于各種原因流出企業(yè)，也能一定程度確保文件無法被瀏覽。

作者:吳非 單位:中車軌道交通建設(shè)投資有限公司