揭祕7大最易忽略的攻擊面
背景介紹
從紙筆辦公到物聯網時代,你知道哪些攻擊面是攻擊者最常利用,而我們又最常忽略的嗎?
現在,在你的辦公室中可能還有一些老舊的傳真機或是佈滿灰塵的印表機,在你的眼中,它們或許只是已經無法用來發送郵件或影印文件的過時技術。你可能也會將收發室/信房視為收集未經請求的垃圾信件的地方,而這些垃圾信件很快就會被你丟進垃圾箱。
是的,如此尋常的物件,如此尋常的操作,可能每天都在我們的生活和工作中上演。但是,攻擊者卻能夠從中發現一些不同的東西:漏洞,一些通常會被安全部門忽略的漏洞。要記住,非計算機向量上的網路攻擊要比你想象的更常見。
例如,今年8月,Check Point公司的研究人員就披露了全球數以億計傳真機所使用的通訊協議中存在的兩個嚴重遠端程式碼執行(RCE)漏洞。該攻擊被稱為Faxploit,其中涉及了兩個緩衝區溢位漏洞,一個在解析COM標記時觸發(CVE-2018-5925),另一個基於堆疊的問題在解析DHT標記(CVE-2018-5924)時發生,這可以導致遠端程式碼執行。
為了證明這一攻擊,Check Point惡意軟體研究團隊負責人Yaniv Balmas和安全研究員Eyal Itkin還針對市面上流行的HP Officejet Pro多功能一體機、HP Officejet Pro 6830一體式印表機以及OfficeJet Pro 8720進行了測試。結果顯示,研究人員只需使用一根電話線,然後傳送傳真,就可以完全控制傳真機,並將惡意載荷橫向擴散到印表機可訪問的計算機網路中。
根據Check Point的研究,許多其他供應商的傳真和多功能印表機,以及流行的線上傳真服務(fax2email)都使用了相同的協議,因此也極可能受到此類攻擊的影響。
雖然傳真機並不是最現代化的技術,但是根據Spiceworks公司2017年進行的一項調查顯示,62%的受訪者表示他們仍在使用實體傳真機;而IDC進行的一項調查也顯示,82%的受訪者表示他們使用傳真的情況在2017年實際上是有所增長的。尤其令人擔憂的現狀是,傳真仍廣泛應用於醫療保健、法律、銀行以及房地產等領域,被組織用於儲存和處理大量高度敏感的個人資料。
當然,這只是經常被組織忽略的攻擊向量中的一個例子,事實上,還存在很多諸如此類的高危卻容易被人忽略的攻擊面,接下來就為大家一一揭露:
7大攻擊面
1. 印表機/多功能機
InGuardians高階管理安全分析師Tyler Robinson表示,資訊保安專業人員應該確保他們的印表機不會暴露在網際網路上。除此之外,他們還應該更改此類裝置的預設密碼,並指定相關負責人對印表機安全負責。
資訊保安專業人員應該意識到,大多數多功能裝置都有硬碟驅動器和完整的作業系統執行其上,這就意味著,黑客可能會竊取列印文件並從這些裝置中掃描PDF檔案。
此外,對於那些選擇租用多功能裝置,並每隔幾年就會更換一次租賃裝置的企業而言,必須制定一份明確的銷燬策略,確保硬碟在裝置返回供應商處之前被銷燬。
2. 老舊傳真裝置
資訊保安專業人員需要了解,個人身份資訊可能會經由老舊的傳真裝置洩露出去。黑客通常會將傳真轉發到電子郵件地址,或者只是通過傳真機發送資料。最好的防範措施是進行適當的清單,鎖定預設介面,並確保傳真機不會暴露在網際網路上。對於不得不用傳真機傳遞關鍵資訊的情況,也應該通過專用線路進行操作。
由於多功能裝置的加速發展,眾多企業已經逐漸選擇淘汰傳真裝置。對於選擇淘汰這些老舊傳真機的企業而言,最重要的就是要擦拭掉這些傳真機的記憶體,並確保他們的處理供應商提供適當的銷燬檔案。而對於那些仍然依賴傳真機的醫療保健等行業而言,請務必更改裝置的預設密碼,並禁用所有遠端管理功能。
3. 會議室的視訊系統
安全專家強調稱,視訊會議系統也不應該暴露於公共網際網路上。公司應該明確規定誰可以使用這些系統的具體訪問許可權,並根據需要開啟連線,而不是將其全天候開放。
一名研究人員還舉例稱,他曾接觸到一家企業,其Polycom視訊會議系統總是受到攻擊。在後續檢查期間,他發現,起因竟是該公司並未更改預設密碼。所以,安全專業人員必須認真落實這些基本的管理任務,因為毫無疑問,黑客完全有能力通過視訊會議系統遠端監視您的對話和公司會議。
4. 收發室系統
首先要意識到,將快遞運送和發往收發室的很大可能是不受信任或未經請求的代理商,這類人永遠不能訪問安全區域,如果可能,他們應該與公司環境之外的收發室進行互動。公司必須讓您的收發室工作人員熟悉並能夠識別常規的FedEx和UPS等快遞標識。
此外,公司還需要對員工進行培訓,告訴他們只需通過一個小小的拇指驅動器(無論是無意中撿到或是從未知來源的郵件中收到)就可以成功感染企業網路,因此,無論何時,不可輕易信任來自收發室的信件內容或將其中的東西用於公司網路中。
5. 供熱通風和空調(HVAC)系統
不知大家是否還記得發生在2013年的Target資料洩漏事件?因其影響範圍之廣(超過1億使用者的信用卡、卡號、戶主、地址、郵件地址以及電話皆被曝光)、損失之嚴重(被偷信用卡估計價值4億美元)而成為資訊保安領域中無法磨滅的一段歷史。而這起事件最初的入侵點就是一個為攻擊者所入侵的第三方HVAC系統。
公司必須首先讓HVAC系統在自己的網路段上執行,然後再進行適當的控制和監控。如今,HVAC系統中的物聯網感測器通常都是由一些IT經驗有限的人員部署完成——他們在部署這些物聯網裝置和感測器之前通常不會對其進行徹底測試,且使用默認出廠密碼對其進行安裝,並且很少了解如何維護軟體更新或加固系統。更令人擔憂的現實是,由於物聯網發展過於迅猛,導致物聯網市場中的許多公司都是曇花一現般的存在繼而消亡,很多企業維持不到兩三年,更不用提持續的軟體更新和技術支援了。
6. 接待區
無論是VOIP網路電話、接待區資訊亭、數字電視顯示器,還是與訪客建立虛擬連線的虛擬接待員,公司接待區也應該在他們自己的網段上執行。
安全專家建議稱,接待區網段應該與企業網路隔離,並加強抵禦物理攻擊。具體措施包括鎖定USB埠或乙太網插孔,如果有觸屏,請使用唯一密碼進行配置,並禁用所有管理功能。
7. 安全攝像頭和門禁系統
企業還應該劃分安全攝像頭和門禁系統。這些系統需要縱深防禦,因為公司需要依賴它們來控制對敏感區域的訪問。而近年來,針對安全攝像頭和門禁系統的攻擊事件頻發,讓人們意識到黑客想要“破門而入”,訪問企業網路是多麼容易的一件事。
如今,越來越多的企業開始重視物理安全問題,因為它會影響企業整體的網路安全。為此,安全專家建議稱,企業必須將門禁和攝像系統與其他IT系統同等看待——及時保持更新,將其劃分到自己的網段中,並實時監控日誌以檢測攻擊行為。
原文連結: