1003
論“安全部門雇黑客”之利弊
本文講的是 : 論“安全部門雇黑客”之利弊 , 【IT168資訊】每季度,我總是撥部分預算給安全評估,這是預算中至關重要的一環。我的安全評估重點常為主體設施,關鍵應用評估,或是公司產品的機能滲透測試。而本季度,我決定雇傭一名電腦黑客。
故障通知單一家專營滲透測試的谘詢公司發現了不少漏洞。應對方案就是修補漏洞,並重新編寫程序,然後查明為何安全團隊中無人發現可疑的威脅進程。
大體上而言,我認為公司已經固若金湯,然而我亦明白,我們的基礎架構仍不是100%的安全。內部係統評估是找出漏洞的唯一方法,或者,還有一種更好的方法:雇一位黑客來為公司進行評估,抑或是至少雇傭一家專營滲透測試的谘詢公司來評估。
我的設想中,通過第三方的客觀評估,我們得到的信息更為全麵。對於所雇傭的顧問,我隻提一項要求:禁止攻擊阻斷式服務。雇傭其他的公司,我就能進行秘密測試,測試安全團隊對可疑進程的敏感程度;IT部門內,隻有極少數可信之人了解內幕。這樣做還有一大好處,我們能及時發現漏洞,明確如何改良數據外泄防護方案,安全事件,甚至是為我們提供保護的事件管理係統。
對於那些顧問,除了一張待評估關鍵件應用列表,我不提供多餘詳細信息。我需要他們像一名黑客,或一個組織那樣,有目的性地攻擊公司漏洞。
2周後,我收到了報告,此次報告最大的發現,是揪出了一個外部DNS(域名係統)服務器,該服務器提供公司內部地址空間的鏈接。此外,這個DNS服務器經過配置,允許任何人轉載公司包括內部基礎架構圖,以及命名約定在內的機密信息。一名黑客能夠通過這些信息,找到公司的內網,攻擊重要目標。
還有一個問題浮出水麵:通過一些漏洞,公司的基礎架構有被越權存取的可能。在一項網絡應用中,一位顧問發現了一處SQL資料隱碼漏洞,黑客能夠使用SQL語言詢問,獲得密碼,破壞公司應用服務器上的係統賬戶。密碼的破譯僅僅需要6秒的時間。
密碼能用於登陸Microsoft Outlook 網絡訪問,之後,黑客/顧問就能夠使用應用服務賬戶注冊。出於安全考慮,服務賬戶最好別捆綁郵箱地址。
無論如何,顧問能夠獲取整個公司的名冊,找出在郵件收發室的員工。取得該員工包括家庭住址,電話號碼,個人郵箱地址在內的大量的信息,就如同他在網上所做的那樣。然後,他偽裝成該員工,向幫助台求助(顧問能從公司官網找到幫助台的電話號碼)。幫助台的技術人員幾乎不驗證“用戶”身份,他們隻會詢問“用戶”的辦公室分機號。顧問報上號碼後,技術人員毫不猶豫地重置“用戶”郵箱密碼,並提供一個臨時雙重認證密碼,顧問能憑其登陸員工VPN(虛擬私人網絡)。至此,黑客成功進入公司內網,接觸所有公司應用。
如你所想,我有一堆任務要完成。我們需要製定新幫助台流程,以進行員工驗證,我們還需要重新配置DNS服務器,修補SQL資料隱碼漏洞,合並Microsoft Outlook網絡訪問的雙重身份認證,以及查驗服務賬戶。最後,我還需要查明一點:顧問/黑客的那些作為,為何我的安全團隊沒有一人發現?
孔維維 袁雪萊
最後更新:2017-10-18 15:03:34