雇佣黑客来保护企业的网络安全

来源: kaiyun体育官方人口作者:孔维维
2012/10/12 11:40:47
kaiyun体育官方人口 :企业每个季度很重要的一块预算就是安全评估。通常情况下,是通过物理测试的方法测试企业的主要设备和关键应用程序。而有的企业会选择聘请黑客来做这部分工作。这又是什么道理呢?



分享到: 新浪微博 腾讯微博

企业每个季度很重要的一块预算就是安全评估。通常情况下,是通过物理测试的方法测试企业的主要设备和关键应用程序。而有的企业会选择聘请黑客来做这部分工作。这又是什么道理呢?

举例说了,有这样一家公司,专门从事企业渗透测试,旨在测试中发现出现漏洞的各种可能。他们通过编写新的程序,寻找那些没有安全团队维护的漏洞。当然,黑客也不是万能的。他们懂得,每家企业都会存在一个坚硬的外壳,一般都会有防火墙的保护,但是这些基础设施建设当然不会100%的安全。黑客做的工作就是评估漏洞在哪里运行的频繁。通过聘请这样的公司,可以帮助企业测试其安全团队的效率并检验我的企业网络是否安全。但这项工作有个前提,就是黑客的渗透测试必须是在隐蔽的环境下进行。这么做的好处,可以帮助企业在发生数据泄漏、安全事故时可以更快的启动应急策略。

在两个星期的时间里,黑客通过评估应用列表,并写成详细的评估报告。报告显示,企业内部网络风险很多程度上来源于DNS服务器。因为这些服务器的配置是允许任何人访问制定区域内信息,其中就包括企业内部基本等。

另外一个问题就是未经授权的访问,这考验着企业基础设施的潜力。一名黑客发现一个面向Internet的应用程序的SQL注入漏洞,能够发出一个SQL查询来获取系统帐户密码到企业的应用服务器上,只需要6秒的时间,就可以破译密码,然后使用该密码来访问Microsoft Outlook Web Access中,黑客能够登录的应用程序服务帐户。

在任何情况下,顾问能够枚举我们整个企业的目录,然后获取整个企业雇佣的个人信息,其中不乏家庭住址,电话号码和个人电子邮件地址。然后通过假扮员工身份来验证用户。黑客通过提供提供相关个人信息,然后通过重置邮箱密码等手段,登陆到企业员工的邮箱,通过邮箱,黑客可以获得应用权限并畅游企业内部网络。

综上所述,如果一个安全的企业网络,需要做到验证员工,重新配置DNS服务器,防止SQL注入,并采用双因素身份验证的Microsoft Outlook Web Access和审查服务帐户,这样才能保护企业的安全。

责编:孔维维
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map