我们有关安全性的一系列最新评论 克里斯·奥克利(Chris Oakley), 网络态度 让我们深入了解该公司最近在客户身上进行的鱼叉式网络钓鱼和黑匣子安全测试–可以访问数量惊人的敏感公司数据,包括知识产权,员工信息和公司合同–以及概述应该采取的不同方法。

随着数据泄露问题继续成为头条新闻,所有行业的组织都应该明智地假设它们是目标。考虑到这一点,企业(尤其是那些拥有高价值信息的企业,例如律师事务所和金融服务机构)的重点必须是确保采用技术,人员和技术来制定分层的安全策略和事件响应计划。由安全团队定期且持续地测试的流程。

防范网络攻击的最佳方法是预先运行受控的模拟攻击,并仔细构建演习和协议,以在发生任何类似的实际攻击时进行部署。渗透测试(或笔测试)涉及针对组织的网络和系统进行受控的黑客攻击演习,以展示网络罪犯如何能够获得访问权。它可能涉及在公司网络,系统和人员上执行的许多手动和自动测试,以确定他们是否容易受到攻击。然后,可以将这些练习中收集到的情报用于解决所有未发现的弱点。这有助于公司迅速关闭任​​何开放的攻击渠道,并充分了解攻击的工作方式,从而使他们更有能力应对未来的现实事件。

示例一:鱼叉式网络钓鱼-一种简单但高效的攻击方法

作为具有多年在公司网络上进行笔测试的经验的安全专业人员,使用从简单的社会工程技巧到高级漏洞利用等多种方法,结果通常令人震惊。这是我们的安全测试团队成功利用鱼叉式网络钓鱼攻击目标客户的示例,目的是诱骗用户泄露敏感信息:在6,000名员工中,有14位收到了一封包含欺骗网站链接的电子邮件;八个人单击了链接,然后两个人继续输入其凭据。一个是高级主管,我们能够证明他们可以访问他们的收件箱,并可以查看他们与首席执行官之间的直接定期沟通。第二个人在服务台工作,由于他们的角色,他们具有一定的网络特权。因此,我们能够控制他们的帐户并访问帮助台收件箱,该收件箱中的电子邮件中包含许多敏感密码。

示例二:使用黑盒测试方法访问王国的密钥

在另一个最近的示例中,我们的安全团队对一家拥有12,000多名员工的大型国际公司进行了“黑匣子”测试。黑盒方法意味着客户端不会向安全测试人员提供有关其基础结构的任何信息。仅使用一个简单的URL或什至只是公司名称,渗透测试人员的任务就是评估环境,就像他们是外部攻击者一样,其先验信息非常有限。

首先,我们找到了一个基于Windows域凭据的具有单点登录身份验证的Web应用程序,该应用程序演示了可预测且一致的用户名格式。尽管该组织已制定了一项政策,要求密码不少于8个字符,并且大小写字母和数字混合在一起,但我们的团队还是能够使用“ Password1”获得访问权限。侦察使我们访问了400个用户名的列表,当针对每个用户名尝试使用“ Password1”时,我们都可以访问上述Web应用程序。从那里,我们的测试人员能够访问内部社交网络的邀请并收集5,000个用户名。当我们针对所有5,000个帐户重试“ Password1”时,我们可以访问另外五个帐户。这使我们发现了具有单因素身份验证的安全套接字层虚拟专用网络(SSL VPN)。有了我们已经访问过的登录详细信息,我们就可以在内部网络中站稳脚跟,并设法轻松地转向其他计算机,包括具有许多用户登录的邮件服务器。一个拥有域管理员帐户的用户,该帐户的用户名和密码几乎相同。从这一点上,我们获得了对整个Windows域的控制,并从那里控制了全球网络。

这项测试总共花费了不到12个小时,而且没有组织的内部系统的先验知识。我们获得了数量惊人的敏感公司数据,包括知识产权,员工信息和公司合同。客户对此没有可见性,因此无法识别出已发生的任何事件,确定其范围或执行任何其他类型的事件响应。如果这是现实情况,则攻击者可以自由地留在网络中一段时间​​未被发现,并有足够的机会造成重大破坏。

应该做些什么?

安全性不是最小化攻击面的一种手段,而且绝对不需要直接与Internet相连的多个与员工相关的管理服务。两要素认证也是必须的,尤其是对于那些在违规情况下具有很高价值的服务。世界上最严格的密码策略尽管很重要,但仍可能会导致某人选择令人难忘和脆弱的内容。最后,监视,警报和事件响应至关重要。检测违规并做出响应的能力是减轻攻击可能造成的损害的关键。

一连串引人注目的数据泄露事件证明,人员通常是组织网络安全中最薄弱的环节。即使是最注重安全性的人在分散注意力的时刻单击恶意链接或打开带有恶意软件的附件的风险也实在是太高了。此外,随着移动性和无边界网络的不断发展,保持对入口和出口点的控制以及准确知道敏感数据所处的位置变得越来越困难。

由于风险比以往任何时候都高,因此,自满绝对不是一种选择,并且必须通过严格而持续的测试来补充强大的安全策略,以确保更好地保护敏感数据免受日益复杂的网络罪犯的攻击。