首页 > 信息安全 > 正文

IT安全:可怕的黑客新趋势

2012-11-30 09:47:09  来源:互联网

摘要:这些黑客使用诸如具有高度针对性的鱼叉式网络钓鱼(Spear Phishing)电子邮件,引诱不知情的用户打开一个恶意的附件,然后把恶意软件部署到用户的计算机中。
关键词: 黑客

    任何事情总是事后说起来容易,但今天似乎已经很清楚,最近,高调的网络攻击背后的罪犯,不一定是电脑天才,只是获得良好机会的人们。他们能够利用人性的弱点,然后滥用他们找到的一个敞开的门。这里,让我来解释一下。


    这些黑客使用诸如具有高度针对性的鱼叉式网络钓鱼(Spear Phishing)电子邮件,引诱不知情的用户打开一个恶意的附件,然后把恶意软件部署到用户的计算机中。攻击者可以从一个机构内的单台计算机开始,然后利用弱的、共享的特权帐户的受害者,控制整个网络系统,搜遍其基础设施和提取敏感的信息。这种方法很简单,但非常有效。


    潜在的、脆弱的特权帐户在IT基础设施上—主机电脑操作系统,网络设备和备份系统,以及在业务软件中,是随处可见的。特权帐户可分为三个主要群体:


    1、超级用户登录个人账户,用于配置、运行和安装应用程序,更改系统设置;处理日常行政工作;以及执行应急消防呼叫维护。


    2、服务帐户,需要特权的登录ID和密码来运行。


    3、应用到应用的密码,被网站、在线业务应用、定制软件连接到数据库时使用的。


    控制访问特权帐户的密码,是最终黑客和机构的私人数据之间的主要障碍。然而,很多时候,这些密码没有得到充分的保护、监督和审查。


    安全性:为什么特权帐户处于危险之中


    因为特权帐户,甚至没有通过身份访问管理(Identity Access Management简称IAM)系统确认,大多数机构都没有用自动化的方式来管理这些强势的帐户。今天由政府和行业团体制定的IT安全法规要求机构经常更新特权帐户的证书,并审核其使用授权。但是用脚本或手工更新这些帐户,常常被证明是太耗时和容易出错的。对于更复杂的过程,手动更改可能会导致服务中断,如果人员不清楚不同的特权帐户之间的相互依存关系的时候。因此,许多机构根本忽视了这个问题。


    不幸的是,由弱的特权帐户引入的安全风险,在您的数据中心并没有停止。您的机构可能使用的越来越多的共享服务,包括云服务、证书颁发机构和金融服务网关,特权帐户的安全管理薄弱或不存在管理的问题已经暴露无遗。对于一个黑客来说,由共享的服务提供商员工使用的一个弱加密特权登录,是具有令人难以置信的吸引力的目标,尤其是因为在这些环境中的一个单一的妥协登录,就可以打开企业客户的私人数据。


[page]    保护钥匙的安全


    虽然保护您的特权帐户的安全,可能看起来像一个棘手的问题,你可以从控制开始,只需采取三个简单的步骤。


    第1步,找到钥匙。您需要执行一个对您的整个网络从顶端到底层的审查,以确定所有特权帐户究竟在何处驻留。这应该包括编目,看看登录密码是否足够独特和复杂,它们是否经常改变,以保证安全。


    在这一点上,一些读者可能会感到绝望,因为在一个典型的数据中心有成千上万的潜在的特权登录编目,这是一项不容易的任务。不要害怕,有些公司可以向审核合格的机构提供特权帐户的审计,通常是不收取费用的。


    第2步,锁门。你应该部署自动地关闭任何已发现的安全漏洞的功能。有成本效益的解决方案,不仅可以保证非常大的网络上的这些帐户的安全,而且这样做只需几个小时或几天,而不是几个月的时间。


    第3步,固定窗口。如果您的网络关键的外部组成部分是脆弱的,您也不能保证安全。要求您的关键业务合作伙伴,包括云服务提供商、证书颁发机构和其他机构,证明他们是在遵守有意义的、如共识审计准则(Consensus Audit Guidelines)这样的规定。我认为,如果他们提供像SAS70等类似的自我认证,那说明他们没有采取认真的态度,最终将会暴露您的私人信息。


    黑客已经表明,它们能穿透任何企业的网络。在过去的几个月中,入侵者似乎更占上风,因为泄露这个词已经攻击类似遭受损害的DigiNotar的四个证书颁发机构。


    许多机构似乎认识到情况的严重性,产生了一些恐慌和混乱的回应,因为他们赶紧锁好门,而慌乱中,却把钥匙留在锁上。你的数据中心依赖于特权身份的功能,这是不会改变的。但是,如果不能保护这些帐户,那么将会暴露您的私人数据。我们已经解释过风险了,但最终的决定取决于您自己。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。