最近的一份报告称,过分强调应对新的和正在出现的安全威胁可能会导致公司忽视较旧但被频繁利用的漏洞。
这份来自TrustWave的报告基于对1900多项渗透测试收集的数据的分析,以及代表美国运通、万事达卡、Discover、Visa和几家大型零售商进行的200多项数据泄露调查。
报告称,分析显示,全球主要公司正在使用“漏洞追踪器”,搜索最新的漏洞和零日威胁,而忽略了最常见的漏洞。
Trustwave购买违约担保
因此,公司继续被旧的、被认为是众所周知的漏洞所击倒,而不是被新的攻击工具和方法所击倒。
例如,TrustWave发现,2009年黑客最初访问公司网络的前三种方式是通过远程访问应用程序、可信内部网络连接和SQL注入攻击。
这三个攻击点都经过了多年的研究和了解。例如,TrustWave说,SQL注入漏洞已经被知道至少10年了,但在基于web、数据库驱动的应用程序中仍然广泛存在。
TrustWave在其外部网络渗透测试中发现的最常见漏洞与web应用程序引擎(如Websphere和Cold Fusion)的管理接口有关。在许多情况下,管理界面可以直接从Internet访问,并且几乎没有密码保护,这可能使攻击者能够在web服务器上部署自己的恶意应用程序。
类似地,路由器、交换机和VPN集中器等未受保护的网络基础设施组件是TrustWave发现的第二个最常见的漏洞。许多公司倾向于在同时承载外部内容的同一台服务器上承载内部应用程序,这是另一个常见的漏洞,错误配置的防火墙规则、默认或容易猜测的密码以及DNS缓存中毒也是如此。
与此同时,TrustWave的无线渗透测试发现了一些共同的弱点,如继续使用WEP加密、传统802.11网络的安全控制很少甚至没有,以及无线客户端使用公共“来宾”网络而不是安全的专用网络。
TrustWave蜘蛛实验室研究部高级副总裁尼古拉斯·派科(Nicholas Percoco)说,在几乎所有的案例中,TrustWave发现的最常见漏洞都是众所周知的问题,早就应该解决了。
“基本上有两个主题,”Percoco说。“通过我们2009年的研究,我们发现企业中存在一些非常古老的漏洞,有些甚至长达20到30年。”他说,第二个主题是,攻击者将这些旧缺陷作为攻击目标,侵入企业,然后使用越来越复杂的工具从企业获取数据。
Percoco说,除了旧的击键记录和数据包嗅探工具外,恶意攻击者越来越多地使用内存解析器和认证恶意软件等工具来窃取数据。内存解析器用于监视与某个进程相关联的随机访问内存,并从中提取特定数据。认证恶意软件程序是一类新的多用户程序,通常用于从ATM机上窃取金钱和支付卡号。
TrustWave表示,公司可以采取多种措施来缓解旧漏洞和经常被忽视的漏洞带来的风险。一个步骤是维护完整的资产库存。TrustWave表示,许多公司往往不知道自己拥有的所有IT资产或它们对数据造成的风险,因此维护最新的资产清单对于保护这些资产至关重要。
尽可能停用旧的遗留系统也有助于降低风险。此外,在TrustWave调查的80%案例中,第三方应对引入漏洞负责。因此,据该公司称,监控第三方关系是关键。其他建议的措施包括内部网络分割、数据加密和更强的Wi-Fi安全策略。
