企业网络安全威胁大揭秘 2024-04-18
摘要 :
对于企业来说,木马、黑客、病毒等网络安全威胁已经成为信息安全的重大隐患。为了保护企业数据的安全,就要清楚目前来自网络的主要威胁都有哪些。
一、安全隐患:IPv6存在的攻击漏洞
在从IPV4向IPV6过渡的过程中,企业面临着很多信息安全调整,安全专家表示。让情况更糟糕的是,一些攻击者已经开始使用IPV6地址空间来偷偷向IPV4网络发起攻击。
Sophos公司的技术策略主管James Lyne表示,众所周知,企业间从IPV4向IPV6过渡过程非常缓慢,而很多网络罪犯就钻了这个空子,很多攻击者在IPV6基础设施散步垃圾邮件并且利用了错误配置的防火墙的缺点。
很多现代防火墙在默认配置下都是让IPV6流量自行通过的,Lyne表示。那些对IPV6流量不感兴趣的企业就会设立明确的规则来严格阻止IPV6数据包,IT管理人员需要“知道如何与IPV6对话”,这样他们就可以编写相应的规则来处理该协议。
“从行业的角度来看,现在销售IPV6的方式是错误的,”Lyne表示,他指出关于该协议的内置功能如何帮助提高隐私性方面的问题很少有人探讨。相反的,对IPV6难以部署的普遍观念让企业很容易受到潜在攻击。
从一般规则来看,IPV4和IPV6网络是并行运行的。具有传统IPV4地址的计算机不能访问在IPV6地址空间运行的服务器和网站。随着IPV4地址“逐渐衰败”,业内都鼓励企业转换到IPV6或者无法获取新IP地址。负责向亚太地区分配IP地址的亚太网络信息中心近日宣布所有新的地址申请将被分配IPV6地址。
一位安全研究人员近日发现攻击者可能通过IPV6网站发动中间人攻击。InfoSec研究所安全研究人员Alec Waters表示,攻击者可以覆盖到目标IPV4网络上的“寄生”IPV6网络来拦截互联网流量,他的概念证明攻击只考虑了windows 7系统,但是同样也可能发生在Vista、Windows 2008 Server和其他默认情况下开启了IPV6的操作系统上。
为成功发动攻击,攻击者需要获取对目标网络的物理访问,并且时间足以连接到IPV6路由器。在企业网络的环境中,攻击者将需要连接IPV6路由器到现有的IP4枢纽,但是对于公众无线热点,就非常简单了,只需要用IPV6路由器就能发动攻击。
攻击者的IPV6路由器将会使用假的路由器广告来为网络中启用了IPV6的机器自动创建新的IPV6地址。
路由器广告的作用就像是IPV6地址的DHCP(动态主机配置协议),它提供了一个地址池供主机来选择,根据SANS研究所首席研究官Johannes Ullrich表示。在用户或者IT管理人员不知情的情况下,他们的机器已经变成IPV6猎物。
虽然系统已经有一个企业分配的IPV4地址,但是因为操作系统处理IPV6的方式,系统会被打乱到IPV6网络。现代操作系统将IPV6默认为首选连接(如果系统同时被分配了IPV6和IPV4地址的话)。
由于IPV6系统无法与企业真正的IPV4路由器进行连接,系统必须通过恶意路由器进行路由,Waters表示,攻击者然后可以使用一个通道来将IPV6地址转换到IPV4地址,例如NAT-PT,这是一个实验性IPV4到IPV6转换机制,但是因为存在很多问题,该机制并没有获得广泛支持。
“但并不意味着它没有作用,”Waters表示。
通过NAT-PT,具有IPV6地址的机器就可以通过恶意路由器访问IPV4网络,使攻击者对他们的互联网活动有了全面了解。,
这种攻击的严重程度还存在争议,InfoSec研究所安全计划经理Jack Koziol表示。根据常见漏洞清单,“IPV6符合RFC 3484(IPV6协议),以及试图确定RA的合法性目标仍位于主机操作系统推荐行为的范围外仍然存在争议。”
不需要使用IPV6或者没有完成过渡的企业应该关闭所有系统上的IPV6,或者,企业应该“像IPV4一样对攻击进行监控和抵御”。
二、来自客户和合作伙伴的安全威胁
虽然企业尽其全力确保了自身网络安全,但在电子商务和网上银行的时代,这些还远远不够。IT管理人员应该要问:与我们业务往来的合作伙伴的安全保护工作是否到位?
答案可能是否定的,因为客户和业务合作伙伴并没有实现安全数据共享,例如使用加密来保护敏感信息。当他们的计算机被攻击者攻击或者他们的员工以不合法规的方式发送敏感数据时,这自然也会成为你们公司的问题。
在医疗保健行业,与个人医疗信息和个人身份信息有关的数据必须通过加密后才能发送给业务合作伙伴,Lutheran Life Communities(医疗保健供应商,1600名员工,为老年人提供医疗保健、家庭护理等服务)的信息技术主管Richard DeRoche表示。
该医疗保健供应商安装了数据丢失防护设备来确保个人医疗信息和个人身份信息数据传输安全进行,但是令人惊讶的是,最终是业务合作伙伴的问题导致数据泄漏。
“85%到90%的数据泄漏是入站的,”DeRoche指出,虽然Lutheran Life的员工遵守加密敏感数据的规则,但是该供应商的合作伙伴确实犯下最大错误的一方,真是防不胜防。
这引起了Lutheran Life法律部的辩论,关于公司是否应该接受看似违反了HIPAA以及HITECH法案的电子邮件,这些法案都会对违规者进行罚款。
DeRoche表示,公司已经决定开始向违反其安全和隐私政策的电子邮件发送者发送警告信息,信息中称本公司无法接受这种形式的信息。他指出,有必要建立更多的业务伙伴协议,以防止类似问题再次发生。
像许多公司一样,Lutheran Life Communities发现很难让业务伙伴使用加密技术,建立的微软SharePoint作为业务伙伴共享机密信息的外部端口,这个系统是使用密码和加密的系统,但是对最终用户却不实用。
银行业也是同样的情况,其他人犯的错误可能带来不必要的麻烦。
网络罪犯很擅长欺骗零售业和企业网上银行客户,有时候他们会精心设计骗局来引诱受害者电机假冒钓鱼网站来窃取账户信息或者使用木马软件劫持个人电脑来通过自动清算系统服务进行欺诈交易。
罪犯可以远程通过受害者的电脑发起大金额支付,而这些未经授权的付款最终由钱螺帮助他们兑现(钱骡指通过因特网将用诈骗等不正当手段从一国得来的钱款和高价值货物转移到另一国的人,款物接收国通常是诈骗份子的居住地)。当企业银行客户发现这种情况发生时,他们不得不请银行帮忙,而根据法律,企业客户对于网上银行操作并没有相同的欺诈保护。
一些银行正在尝试更有效的办法来制止这种类型的攻击对他们的客户和银行体系的损害。
例如,美国费尔菲尔德县银行决定,为了阻止攻击行为,他们要求其企业自动清算系统银行客户(约80家公司,几百名终端用户)使用特定的安全保护来保护ACH支付。
该银行的所有客户都会获得一个IronKey Trusted Access作为网上银行令牌,这是一个安全的USB令牌,可以通过IronKey云服务来管理。这种令牌保护能够通过创建一个独立于用户操作系统的受控制的在线工作环境防止键盘记录和基于浏览器的攻击以及恶意软件。
“这将是必需的,” 该银行助理副总裁、现金管理办公室和电子银行业务Christina Bodine表示。
她表示,这种强制性安全设备将有助于保护客户和区分银行的服务。像其他银行一样,该银行建议客户使用专门的电脑进行资金转账。
三、有补丁不打,四分之一SSL网站有风险
在互联网工程任务组(Internet Engineering Task Force ,IETF)发布修复SSL协议中存在的漏洞(主要影响服务器、浏览器、智能卡和VPN产品,以及很多低端设备,如摄像头等)的安全补丁的一年多后,仍然有四分之一的SSL网站没有安装这个补丁,这让这些网站很容易收到中间人攻击。
Qualys公司的工程主管Ivan Ristic近日对120万个启用SSL网站服务器进行了调查,其中发现超过25%的网站没有运行所谓的安全的renegotiation。Ristic还发现,在Alexa排名前100万的网站中的30万个网站中,有35%容易受到这种类型的攻击,这种攻击主要是利用了SSL认证过程中存在的问题,可以让攻击者发动中间人攻击,并将攻击者自己的文本注入到已加密的SSL会话中。这个问题主要存在于renegotiation过程中,有些应用程序要求对加密过程进行更新。
为了解决这个问题,互联网工程任务组联手促进互联网安全企业论坛以及一些供应商,例如谷歌、微软和PhoneFactor,发布SSL的修复补丁,也就是互联网工程任务组标准中的传输层安全(TLS)。这个修复补丁(传输层安全TLS Renegotiation Indication Extension)于2010年一月发布。
“令人感到意外的是,顶级网站的安全状况比一般网站的还要差,”Ristic对调查结果表示。
Ristic表示,这些容易受到攻击的网站基本上没有修复这个漏洞。“在修复补丁后,才能够确保安全进行renegotiation,”他表示,“这些漏洞系统也可以部署其他解决方法,通过禁用客户端发起的renegotiation,但是他们也没有这样做。”
发现这个漏洞的PhoneFactor公司的Marsh Ray表示,这些数据说明了修复漏洞方面的场景安全状况,“有一定数量的网站会立即修复漏洞,然后修复后就没有采取任何行动了。”
Ray表示,“我们已经尽了全力,我们让供应商及时地提供修复补丁。你可以把马带到湖边,但是你不能命令它喝水。”
SSL安全问题一直受到广泛关注,首先是研究人员Moxie Marlinspike制造的中间人攻击,诱骗用户认为他正处于一个HTTPS会话中,而实际上他已经被攻击者重定向到其他位置。随之而来的是研究人员Dan Kaminsky的研究,他发现了SSL中使用的X.509数字证书技术存在的关键漏洞。
“我认为没有办法让个人用户大幅度改善SSL部署情况。存在太多问题,而且根本没有人在乎。我觉得我们应该将侧重于库开发人员(举例来说)OpenSSL,让他们移除过时的功能,并且让软件供应商确保默认情况下开启了必要的安全功能,”Ristic表示。
他表示,从长远来看,将需要其他方法来帮助确保SSL部署的安全。“从长远来看,谷歌使用的方法肯定会变得非常流行,他们正在通过改善性能来实现安全的改进。例如,他们的SPDY协议在默认情况下是100%加密的。所以,所有转移到SPDY获取更好性能的用户还将获得更好的安全,”Ristic指出,“总体来说,我们的共同努力,SPDY、DNSSEC、HSTS以及类似的较小的协议改进都将帮助我们实现更好的安全。”
四、钓鱼攻击成为主要安全威胁
成功利用钓鱼邮件对安全企业(例如Oak Ridge和RSA等)造成的数据泄漏攻击为我们敲响了警钟,一些专家嗤之以鼻的低技术含量攻击方法也可能造成严重威胁。
美国能源部研究实验室Oak Ridge近日宣布在发现在其网络中存在数据窃取恶意软件程序后,已经关闭了所有互联网访问和电子邮件服务。
根据该实验室表示,这次数据泄漏事故源于一封被发送给570名员工的钓鱼攻击邮件。这封电子邮件伪装成该实验室的人力资源部门的通知,当一些员工点击嵌入在电子邮件中的链接后,恶意程序就被下载到他们的电脑中。
这个恶意程序利用了微软IE软件中未修复的漏洞,并且目的是搜寻和窃取该实验室的技术信息,该实验室的工程师们正在努力研制世界上最快的超级计算机。
Oak Ridge实验室的官方发言人形容这次攻击与安全供应商RSA遭受的攻击非常类似。
RSA数据泄漏事故导致了RSA公司的SecurID双因素认证技术信息的被窃。而在本月初Epsilon发生的数据泄漏事故也被怀疑是有针对性的钓鱼攻击行为,这次事故是有史以来设计最多电子邮件地址的事故。
分析家表示,攻击者能够利用低技术含量、假冒电子邮件的方法来渗透入这些受到良好保护的企业表明了有针对性的钓鱼攻击日益成熟,并且存在这样的趋势,企业认为单靠教育员工就能够缓解这个问题。
“这并不让我感到惊讶,” 安全公司Invincea公司创始人Anup Ghosh表示,“几乎每个公开的和发表声明的高级持续性攻击都是通过钓鱼邮件开始的。”
事实上,现在这类邮件似乎成为攻击者非法进入企业网络的首选方法,他表示。
“你需要做的就是设立一个电子邮件目标,你只需要通过几次电机就能够在企业内部建立几个存在点,”Ghosh表示,“如果你企业有1000名员工,并且你教育他们不能打开不可信任的附件,还是会有那么几个人会打开。这并不是训练可以解决的问题。”
让问题更严重的就是钓鱼攻击越来越复杂,分析师指出。
越来越多的有组织的攻击团队开始使用精心设计的电子邮件来针对高层管理人员以及企业内部他们想要攻击的员工。在很多情况下,钓鱼邮件都是个性化的、本地化的,并且设计得好像是来自可信任来源一样。
Ghosh表示,他上周就收到过类似的邮件。邮件发送到他的个人邮箱,看起来是一个好朋友发过来的邮件,包含一个能够打开朋友的女儿生日派对照片的链接。邮件甚至还包含朋友女儿的名字。
邮件被标记为红色,但是Ghosh在点击链接后才发现红色标记。“随便看一眼就已经能够说服我去点击链接,”他表示。
Spire Security公司的分析师Pete Lindstrom表示,“最近很多攻击都是使用某种形式的钓鱼攻击,这个十分令人担忧,我们总是很容易在一些安全基础环节掉链子。”
公司必须定期记录和监测网络是否存在这种钓鱼攻击造成的数据泄漏,他表示。
在钓鱼攻击中,企业必须更注重响应和遏制,而不仅仅是预防,Securosis公司分析师Rich Mogull表示。
在这种攻击中,企业常常面对的是拥有丰富资源、耐心和资金的对手。通常情况下,这样的对手都愿意不断尝试直到他们攻入系统网络。“几乎不可能阻止这样的人。”
