企业常犯的六大致命性安全失误

2.忽略某个具备高权限却极少使用的账户

许多机构都没有锁定某些能够直接登录的管理账户，这使得攻击者有机可乘。但除此之外，还有不少被忽略掉或是很少使用的高权限账户，它们的存在本身就是安全机制的重大隐患。

一家素以高安全保障机制与管理员账户保护得力著称的财富五百强金融服务公司，近来就被一个长期丢在某台西门子Rolm程控交换机中落灰的区域管理员 账户弄得狼狈不堪：这个权限极高的账户是被Trustwave SpiderLabs发现并被用于进行参透测试。小小的疏忽如今却成为攻克企业网络那森严戒备的一枚穿甲弹。他们使用该账户建立克隆的服务台语音信箱，并 在求助者来电咨询时通过社交手段获取对应的验证信息。假冒IT服务台工程师的Havelt很轻松就得到了一个VPN用户的用户名及双要素验证令牌的密码， 进而完成了VPN连接的长效化工作。

正是上述失误，让整个企业的人力资源、金融与财富管理传输系统以及其它各类敏感信息通通暴露在攻击者面前。

"事情的起因细微且易被忽视，但一旦威胁出现，事态就会像滚雪球那样一发而不可收拾，"Rob Havelt说道。他是Trustwave SpiderLabs的渗透测试部门主管，主要负责为公司的金融服务类客户提供测试服务。"起因往往是这样：万年不变的主题，某个默认账户连带默认密码被 遗忘在某处。看起来没什么大不了的，但它迅速扩大……只要我们随便给别人某个级别的访问权限，他们总会发现其中的漏洞。"Havelt建议称，各机构应该 审核所有设备，甚至是像PBX这样的遗留系统。"务必确保密码策略的正确执行，"他说道。在前面提到的金融服务公司案例中，PBX系统"归属于"电话沟通 部门而非IT部门，这就形成了一个安全方面的断层。"在理想状态下，大家需要为任何能够接入(网络)的事物配备相关负责人，"他补充道。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友