企业常犯的六大致命性安全失误

"通过酒店网络进行工作，其中不免掺杂大量可能趁虚而入的恶意软件，并且其中很多都无法被终端的杀毒软件检测到。那么一旦这些东西获得进入许可，企 业网络就准备好面对恶意软件的肆虐吧，"他解释道。"尽管不少员工经常在外地或是家中以远程方式连接到VPN，但他们很可能不具备（行之有效的）安全控制 手段。"

因此尽管VPN会话在理论上经过了验证及加密，但已经受到感染的用户计算机仍然足以给企业网络带入恶意软件。如果用户计算机受到的是bot感染，那么僵尸网络也同样会侵入内部网络，Reichenberg如是说。

关键是要通过检查，首先阻止来自隔离区VPN流量，他指出。"大多数企业对此并不重视，"他接着说。"他们只检查来自不受信任的外部来源的流量，但如果流量通过VPN进入，则往往不被视为安全威胁。"

这种状况可以通过合理的防火墙策略加以解决，他建议道。

"很多人相信通过VPN的流量是安全的，但我们认为事实并非如此，"他补充说。

4.对嵌入式系统的不了解

复印机、扫描仪以及VoIP电 话中所包含的嵌入式Web服务器通常都存在一定的安全问题或是配置错误，因此当它们被安装被投入使用时，这些问题就会转化成潜在的威胁。"事实上这些设备 都不应该被接入互联网。我实在想不出一台惠普的扫描仪有什么必要连网，"Michael Sutton评论道，他是Zscaler实验室安全研究部门副总裁，并于今年夏季将自己的调查成果在黑帽大会上与大家进行了分享。

Sutton发现，理光与夏普的复印机、惠普扫描仪以及Snom VoIP手机通常都能够从互联网上直接加以访问。而且这些设备往往归企业所在，而且整个机构压根不知道它们处于可在线查看的状态。

数字档案的影印本可能会被攻击者获取，而他们同样能够通过数据包捕获功能对嵌入式VoIP系统进行窃听。"如果（VoIP系统）处于可访问状态，我 们自然就可以登录、开启、捕捉流量并且下载PCAP等等。而借助Wireshark，我们还能够对目标机构加以监听，"Sutton解释道。

关键是要在攻击者得逞之前发现这些存在漏洞的设备。Sutton打造了一款名为BREWS的免费工具，用于自动执行此类检测。

其它类型的网络设备中也有不少错误配置，同样可能让对此毫不知情的客户们陷入安全风险。根据HD Moore去年公布的研究结果，他发现有数以百计的DSL集线器、SCADA（即监测控制与数据采集）系统、VoIP设备以及交换机中存在用于 VxWorks系统的诊断服务功能。这是一种完全不应该在生产模式下被启用的功能，Moore（他是Rapid 7首席安全官，同时也是Metasploit的总设计师）警告说，因为它会允许外界访问并读取或写入设备内存及电源周期体系中的信息。

类似的问题同样见于如今配备了GSM或蜂窝接入装置的客户设备。iSec Partner公司安全顾问Don Bailey认为，GPS跟踪设备、汽车报警器甚至是SCADA系统传感器很容易受到来自网络的攻击。一旦攻击者在网络上搜索到此类设备，他们就有机会加以利用。

Bailey曾成功地侵入了一套当下流行的汽车防盗系统，并通过向其发送文本消息的方式远程启动了该车辆。而盗用SCADA传器器所带来的危害使人更加不寒而栗。

5.源代码或配置文件中的字符错误

Apache Web服务器（或其它Web平台）中缺失的正斜杠符号可能会让攻击者有机会侵入数据库、防火墙、路由器以及其它内部网络设备。最近在Apache服务器上出现的反向代理旁路攻击展示了配置文件中的单个字符如何造就或是摧毁整套安全体系。

来自Context信息安全公司的研究及开发部门经理Michael Jordon发现了这个问题，并声称这更是一种用户并不了解的错误配置现象：正斜杠在Apache Web代理中将激活"重写规则"。

"这是一个典型的案例，功能就摆在那里但人们却并不知情，也不了解这属于一种错误配置，"Jordon指出。

Apache在本月早些时候发布了针对这一问题的补丁，但Jordon认为这个问题很可能还在影响着其它Web平台。"补丁只能减少此类错误配置出现的可能性，"他解释道。

"任何其它重写URL的反向代理也许还面临着同样的问题。我们已经与其它Web服务器供应商取得了联系并向他们知会了此事，"他说道。

6.明显但却仍然普遍存在的问题：非常用系统补丁更新不及时

及时为系统打上补丁不仅是的种良好的使用范例，同时也应该被视作强制性原则，但这并不意味着所有机构都能及时、准确将其实施妥当，尤其是对于某些看似风险较低的系统更是如此。

就拿美国能源部来说吧，他们本周就荣幸地成为补丁更新的反面教材。根据美国能源部监察办公室的说法，能源部中有十五个不同的分支机构被发现仍在使用 未实施已知漏洞补丁更新的桌面系统、网络系统以及运