雇佣黑客来保护企业的网络安全企业每个季度很重要的一块预算就是安全评估。通常情况下,是通过物理测试的方法测试企业的主要设备和关键应用程序。而有的企业会选择聘请黑客来做这部分工作。这又是什么道理呢? 举例说了,有这样一家公司,专门从事企业渗透测试,旨在测试中发现出现漏洞的各种可能。他们通过编写新的程序,寻找那些没有安全团队维护的漏洞。当然,黑客也不是万能的。他们懂得,每家企业都会存在一个坚硬的外壳,一般都会有防火墙的保护,但是这些基础设施建设当然不会100%的安全。黑客做的工作就是评估漏洞在哪里运行的频繁。通过聘请这样的公司,可以帮助企业测试其安全团队的效率并检验我的企业网络是否安全。但这项工作有个前提,就是黑客的渗透测试必须是在隐蔽的环境下进行。这么做的好处,可以帮助企业在发生数据泄漏、安全事故时可以更快的启动应急策略。 在两个星期的时间里,黑客通过评估应用列表,并写成详细的评估报告。报告显示,企业内部网络风险很多程度上来源于DNS服务器。因为这些服务器的配置是允许任何人访问制定区域内信息,其中就包括企业内部基本等。 另外一个问题就是未经授权的访问,这考验着企业基础设施的潜力。一名黑客发现一个面向Internet的应用程序的SQL注入漏洞,能够发出一个SQL查询来获取系统帐户密码到企业的应用服务器上,只需要6秒的时间,就可以破译密码,然后使用该密码来访问Microsoft Outlook Web Access中,黑客能够登录的应用程序服务帐户。 在任何情况下,顾问能够枚举我们整个企业的目录,然后获取整个企业雇佣的个人信息,其中不乏家庭住址,电话号码和个人电子邮件地址。然后通过假扮员工身份来验证用户。黑客通过提供提供相关个人信息,然后通过重置邮箱密码等手段,登陆到企业员工的邮箱,通过邮箱,黑客可以获得应用权限并畅游企业内部网络。 综上所述,如果一个安全的企业网络,需要做到验证员工,重新配置DNS服务器,防止SQL注入,并采用双因素身份验证的Microsoft Outlook Web Access和审查服务帐户,这样才能保护企业的安全。 责编:孔维维  微信扫一扫实时了解行业动态 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
