企业常犯的六大致命性安全失误

来源:net130  
2012/4/10 16:33:28
细微的失误往往会导致极大的安全隐患。有时候一些未知或是容易被忽视的细微失误最终导致机构在攻击行为面前城门大开:服务器配置中的hash标示缺失、某个长期被遗忘的PBX用户账户或者是办公室打印机中的嵌入式Web服务都在此列。

细微的失误往往会导致极大的安全隐患。有时候一些未知或是容易被忽视的细微失误最终导致机构在攻击行为面前城门大开:服务器配置中的hash标示缺失、某个长期被遗忘的PBX用户账户或者是办公室打印机中的嵌入式Web服务都在此列。

其实我们的制约机制不能说不完善,来自规范的压力、日益增长的恶意软件戒备心以及对成为头号数据侵犯受害者的恐惧,这一切似乎都使企业不可能不注意到自身底层设备的潜在问题或是细微的配置错误。

但即便如此,当坏人以某个不起眼的薄弱环节为目标而磨刀霍霍——例如那些由于年深日久、很少用到而没有加装最新安全补丁的台式机——无知不能成为我们逃避责任的借口。攻击者只要抓住一个漏洞,即可获得在某个机构中立足的平台,进而窃取敏感数据或是组织长期计算机谍报工作。

意识到威胁的严重性了?亡羊补牢,未为晚矣。让我们看看企业常犯的一些细微但可能引发重大危险的错误,并在它们真的困扰大家之前将其扼杀在萌芽状态。

1.SSL服务器配置不当

近来似乎已经无法摆脱固有安全性薄弱的坏名声。但是,大多数SSL服务器的问题其实主要出自配置不正确,比如甚至连会话加密的功能都没用到。实际上 只有大约五分之一的SSL网站为SSL进行了重写定向以保障验证机制的作用,而大约70%的SSL服务器处理验证的方式仍然是纯文本登录。尤其值得一提的 是,半数以上采用的是纯文本密码提交。

以上结论来自SSL实验室所出具的一份全球性SSL调查报告,同时也是Qualys的社区项目。但其内容仍不全面:目前攻击者们完全可以在无需僵尸 网络辅助的前提下进行SSL服务器拒绝服务攻击。本周一款新的黑客工具正式发布。有了它,攻击者们能够从一台笔记本或其它计算机上利用SSL重议功能实现 面向SSL服务器的DoS攻击。

那些糊里糊涂将SSL重议功能设为启用的机构在这种攻击面前可谓"人为刀俎,我为鱼肉",而该攻击也以THC-SSL-DOS工具的名头日趋流行。安全专家声称,Web服务器上的SSL重议功能其实没什么实际用处,因此建议大家一律加以禁用就对了。

但nCircle公司安全研究及开发部门经理Tyler Reguly却认为,单纯禁用是种被动的对策,目前仍然没有一套能够抵御攻击的实际解决方案。因为"这就是该协议自身的工作方式,"他评论道。

Reguly指出,此类DoS攻击是SSL机制崩坏的又一明证。"我们需要一套更好的机制,"他说。

共6页: 上一页1 [2] [3] [4] [5] [6]
责编:孔维维
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map