企业常犯的六大致命性安全失误

细微的失误往往会导致极大的安全隐患。有时候一些未知或是容易被忽视的细微失误最终导致机构在攻击行为面前城门大开：服务器配置中的hash标示缺失、某个长期被遗忘的PBX用户账户或者是办公室打印机中的嵌入式Web服务都在此列。

其实我们的制约机制不能说不完善，来自规范的压力、日益增长的恶意软件戒备心以及对成为头号数据侵犯受害者的恐惧，这一切似乎都使企业不可能不注意到自身底层设备的潜在问题或是细微的配置错误。

但即便如此，当坏人以某个不起眼的薄弱环节为目标而磨刀霍霍——例如那些由于年深日久、很少用到而没有加装最新安全补丁的台式机——无知不能成为我们逃避责任的借口。攻击者只要抓住一个漏洞，即可获得在某个机构中立足的平台，进而窃取敏感数据或是组织长期计算机谍报工作。

意识到威胁的严重性了?亡羊补牢，未为晚矣。让我们看看企业常犯的一些细微但可能引发重大危险的错误，并在它们真的困扰大家之前将其扼杀在萌芽状态。

1.SSL服务器配置不当

近来似乎已经无法摆脱固有安全性薄弱的坏名声。但是，大多数SSL服务器的问题其实主要出自配置不正确，比如甚至连会话加密的功能都没用到。实际上 只有大约五分之一的SSL网站为SSL进行了重写定向以保障验证机制的作用，而大约70%的SSL服务器处理验证的方式仍然是纯文本登录。尤其值得一提的 是，半数以上采用的是纯文本密码提交。

以上结论来自SSL实验室所出具的一份全球性SSL调查报告，同时也是Qualys的社区项目。但其内容仍不全面：目前攻击者们完全可以在无需僵尸 网络辅助的前提下进行SSL服务器拒绝服务攻击。本周一款新的黑客工具正式发布。有了它，攻击者们能够从一台笔记本或其它计算机上利用SSL重议功能实现 面向SSL服务器的DoS攻击。

那些糊里糊涂将SSL重议功能设为启用的机构在这种攻击面前可谓"人为刀俎，我为鱼肉"，而该攻击也以THC-SSL-DOS工具的名头日趋流行。安全专家声称，Web服务器上的SSL重议功能其实没什么实际用处，因此建议大家一律加以禁用就对了。

但nCircle公司安全研究及开发部门经理Tyler Reguly却认为，单纯禁用是种被动的对策，目前仍然没有一套能够抵御攻击的实际解决方案。因为"这就是该协议自身的工作方式，"他评论道。

Reguly指出，此类DoS攻击是SSL机制崩坏的又一明证。"我们需要一套更好的机制，"他说。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友