卡巴斯基：揭露容易被忽視的安全薄弱點

近期，來自卡巴斯基實驗室和Outpost24的安全專家針對歐洲一些組織進行了安全評估，研究了未修補漏洞的普遍性，目的是更好地了解全球IT安全狀況。這次聯(lián)合調查顯示，即使針對企業(yè)網絡發(fā)動并不復雜的攻擊，成功率也相當高，而且不需要使用成本較高的零日漏洞利用程序。盡管零日攻擊的數量在不斷上升，但網絡罪犯仍然大量使用已知的漏洞發(fā)動攻擊。這并不奇怪，因為一般企業(yè)要修復安全漏洞，需要60-70天的時間，而這一段時間足以讓網絡罪犯入侵企業(yè)網絡。安全專家團隊進行的安全評估還顯示，網絡罪犯根本無需入侵整個企業(yè)系統(tǒng)，只需“破解”管理系統(tǒng)的人即可。

通常，企業(yè)的安全基準要求在3個月內解決所有高危漏洞。但是77%的漏洞不僅3個月期限后依然存在，甚至在發(fā)現一年后仍然存在于企業(yè)IT環(huán)境中。卡巴斯基實驗室和Outpost24聯(lián)合小組收集到早在2010年就發(fā)現的漏洞數據，還發(fā)現在過去3年中一直處于危險狀態(tài)下的系統(tǒng)。這類未修補的漏洞非常危險，因為這些漏洞很容易被利用，并且會造成嚴重后果。有趣的是，調查人員甚至發(fā)現一些十年來從未修補漏洞的企業(yè)系統(tǒng)，而且企業(yè)還花錢采用相應服務監(jiān)控其安全。

同Outpost21團隊收集數據后，卡巴斯基實驗室資深安全研究員David Jacoby決定進行一項社交工程攻擊試驗，測試在政府機構、酒店和私營企業(yè)的計算機上插入U盤是否容易做到。測試員David身著西裝，拿著一個拷貝有自身簡歷PDF文件的優(yōu)盤來到11家組織的前臺，詢問工作人員是否可以幫助他打印一個文檔，并聲稱該文檔用于其他目的。這次安全評估的樣本包括3家不同的連鎖酒店、6家政府機構和2家大型私企。政府機構的計算機通常會存儲關于公民的敏感信息，而大型私企通常會同其他企業(yè)網絡相連，而經常出入五星級酒店的人員則包括外交人員、政治家和C級高管。

只有一家酒店同意讓David將優(yōu)盤插入他們的計算機上，另外兩家酒店則拒絕這樣做。所有私營企業(yè)同樣拒絕了David的請求。David拜訪的6家政府機構中，有4個幫助David將優(yōu)盤插入計算機中。其中兩家機構的計算機USB端口被屏蔽，所以工作人員讓他通過郵件發(fā)送文件。這些做法都很容易通過PDF軟件中的漏洞感染計算機系統(tǒng)。

“令人感到驚奇的是，酒店和私營企業(yè)的安全意識要高于政府機構?；谶@些一手結果，我們看出確實存在一個問題。我們進行的安全評估適用于任何國家，因為安全漏洞被檢測出后到安全漏洞被修補之間存在巨大的時間差，這一問題普遍存在。U盤試驗結果對于那些尋求定制安全解決方案，用于抵御未來威脅的人來說是一記警鐘。同時，強調了培訓員工安全警惕意識的重要性！”卡巴斯基實驗室全球研究和分析團隊高級安全分析師David評論說。

Outpost24的首席安全管Martin Jartelius則表示 ：“目前很多企業(yè)浪費寶貴的資源預防未來威脅，同時又無法解決當今威脅以及更早的威脅造成的問題。我們應當從使用單獨的安全工具轉向在企業(yè)中引入集成的解決方案，使其成為企業(yè)流程的一部分，這一點非常重要?！?/p>