淺談區域網安全十大威脅

　　歡迎來到，本文，歡迎大家閱讀。

　　1. 膝上型電腦和上網本

　　膝上型電腦是一種考慮周到的行動式裝置，包含完整的作業系統，能夠使用內建電池工作並且配置了乙太網埠可以直接連線到一個網路。此外，膝上型電腦中也許已經有了在後臺執行的惡意程式碼，其任務是尋找網路和發現其它可供感染的系統。這檯筆記本電腦也許屬於一個內部的員工或者屬於一個從開放的辦公室來訪或者工作的客戶。

　　除了被感染的膝上型電腦破壞內部網路之外，重要的是要考慮這些膝上型電腦本身的問題。所有的公司都擁有絕對不允許帶出辦公樓的敏感資料***如工資資訊、醫療記錄、家庭地址、電話號碼和社會安全保險號碼等***。當這些資訊儲存在沒有安全措施的行動式電腦中的時候，那是很危險的，因為行動式電腦很容易帶出去。我們看到過許多儲存了敏感資料的膝上型電腦丟失的例子。除非這個膝上型電腦使用一種嚴格的加密演算法，否則，任何檔案系統的資料都是很容易恢復的。

　　防範措施：對於敏感的資料採用一個加密的檔案系統。有許多現成的解決方案可供選擇，還有開源軟體解決方案，如TrueCrypt。對於進出內部系統的端點實施控制也是重要的。虛擬專用網、DV和WiFi接入等敏感資訊不應該永久性地儲存在膝上型電腦或者上網本等裝置上。

　　2. 無線接入點

　　無線接入點為這個網路附近的任何使用者提供直接的連線。攻擊駕駛員***駕駛汽車搜尋沒有安全保護措施的WiFi網路的人***實施的無線攻擊是很常見的並且曾造成重大損失。Marshalls和TJMaxx公司的東家TJ Stores曾經遭受過使用這種方式進行的攻擊。入侵者侵入了這家公司處理和儲存客戶交易資料的計算機系統 。這些交易資料包括客戶的信用卡、借記卡、支票和退貨交易等資訊。據報道，這次入侵使TJ Stores商店的損失超過了5億美元。

　　無線接入點本身是不安全的，無論是否使用加密措施都是如此。無線加密協議等協議都包含已知的安全漏洞，使用Aircrack等攻擊框架就很容易攻破。如果不使用強口令，WPA***無線保護接入***和WPA2等更安全的協議也容易受到字典攻擊。

　　防範措施：建議使用帶RADIUS***遠端認證撥入使用者服務協議***的WPA2企業版以及能夠進行身份識別和強制執行安全措施的接入點。應該使用強混合口令並且不斷地更換口令。一般來說，無線接入點只是為了連線方便，因此，通常沒有必要把無線接入點連線到工作環境。

　　3. 優盤

　　不管你是否相信，優盤實際上是你能夠從防火牆內部感染一個網路的常用方法，如果不是最常用的方法的話。這有許多理由：優盤價格便宜，體積小、儲存許多資料並且能夠在多種裝置之間使用。優盤的普遍應用促使黑客開發出一種有針對性的惡意軟體，如臭名昭著的 Conficker蠕蟲。這種蠕蟲能夠在連線到USB埠的時候自動執行。更嚴重的是預設的作業系統設定一般都允許大多數程式***包括惡意程式***自動執行。這相當於你的鄰居每一個人都有一把你的電子車庫門的鑰匙，並且利用這個鑰匙開啟其他人的車庫門。

　　防範措施：修改計算機預設的自動執行政策。

　　4. 各種各樣的USB介面裝置

　　優盤並不是IT部門需要擔心的唯一的USB介面裝置。許多裝置都能夠把資料儲存到普通的檔案系統中並且通過一個USB介面或者類似的連線進行讀寫。由於這不是這些裝置的主要功能，這些裝置通常被忘記是一種潛在的威脅。事實是，如果一個端點能夠從這個裝置上讀取和執行資料，這種裝置就能夠同優盤一樣造成威脅。這些裝置包括數碼相機、MP3播放機、印表機、掃描器、傳真機、甚至還有數碼相框。在2008年，百思買報告稱，他們在聖誕節銷售的Insignia數碼相框中發現了一種病毒。這種病毒直接來自於廠商。

　　防範措施：實施和強制執行資產控制和政策，規定什麼裝置可以進入這個環境以及什麼時候可以進入這個環境。然後，定期使用政策提醒程式檢測這些政策的執行情況。2008年，美國國防部制定了一些政策，禁止優盤和其它可移動介質進/出他們的環境。

　　5. 內部連線

　　公司內部員工也可能意外地或者故意地進入他們不會或者不應該接入的網路，使用本文介紹的一些手段破壞端點。也許一位員工在同事吃午飯的時候“借用”那個同事的電腦。也許一位員工讓一位同事幫助他訪問他無權訪問的網路中的一個區域。

　　防範措施：應該經常改變口令。為員工規定身份識別和接入等級是必須的。他應該只有訪問系統、檔案共享等許可權。任何特殊的要求應該呈報給有權批准這個請求的團隊***而不是有權的一個使用者***。

　　6. 特洛伊人

　　同特洛伊木馬一樣，特洛伊人以某種偽裝的方式進入企業。他可能身穿工作服或者穿著合法的維修工的服裝。這類騙子曾經進入過許多非常保密的環境，包括伺服器機房等。根據我們自己的社交經驗，我們一般不會阻止或者詢問在我們的辦公環境中的不認識的身穿工作服的人。一個員工也許不會認真思考一下就刷自己的入門卡讓一個身穿工作服的人進入他們的環境提供服務。一個無人監視的人不用1分鐘就能進入伺服器機房去感染整個網路。

　　防範措施：應該提醒員工有關授權第三方進入的事情。要通過詢問一些問題來確定來人的身份，不要通過推測。

　　7. 光碟

　　在2010年6月，一個陸軍情報分析師被指控竊取並且在公網上洩露保密資料而被逮捕。知情人士說，這位分析師是使用一張偽裝成流行歌手CD的光碟把資料帶出去的。一旦他進入一臺網路工作站，他就能訪問到他有權訪問的機密資訊並且把資料以加密的方式儲存在他的“音樂”CD盤中。為了掩人耳目，這個分析師在使用工作站的時候還會假唱假裝儲存在CD盤中的歌曲。表面上合法的可記錄介質能夠用來拷貝資料進出網路。同上面提到的優盤一樣，光碟也是網路感染的一個原因。

　　防範措施：同優盤的技巧一樣，重要的是實施和強制執行資產控制和政策，規定什麼裝置什麼時候可以進入這個環境。然後，定期使用政策提醒程式跟蹤執行情況。

　　8. 事後諸葛亮

　　雖然這個列表重點介紹緩解利用數字技術的威脅，但是，我們不應該忘記人類的大腦在儲存資訊方面也是非常有效的。當你登入你的膝上型電腦的時候誰在注意你?你的影印件儲存在什麼地方?你在咖啡廳、機場等地方在膝上型電腦上閱讀了什麼保密的檔案?

　　防範措施：最好的防禦措施是隻要操作敏感的資料就要謹慎並且對這種威脅保持警惕，你甚至要立即停下來觀察你的周圍環境。

　　9. 智慧手機和其它數字裝置

　　現在，手機除了讓你給世界各地的人打電話之外還能做更多的事情。智慧手機是功能齊全的計算機，配置了WiFi連線、多執行緒作業系統、大儲存容量、高解析度攝像頭和大量的應用程式支援。與其它行動式平板電腦一樣，智慧手機開始獲准在企業中使用。智慧手機能夠引起上面所說的優盤和膝上型電腦引起的同樣的威脅。而且，智慧手機有可能避開傳統的資料洩漏保護解決方案。如何阻止一個使用者拍攝計算機顯示屏的高清照片並且通過手機的3G網路用***把這個照片發出去?

　　防範措施：這裡適用針對USB裝置和光碟的同樣的規則。實施和強制執行資產控制和政策，規定什麼裝置什麼時候可以進入這個環境。

　　10. ***

　　***是企業收發資料中經常使用的方法。然而，***經常被濫用。包含保密資訊的郵件很容易傳送到外部目標。此外，***本身也可能攜帶病毒。一個有針對性的***可能是為了竊取一個員工的訪問證書。這些竊取的證書可以在第二階段的攻擊中使用。

　　防範措施：對於***的安全，來源的身份識別是關鍵。使用PGP等技術識別發件人的身份或者在傳送敏感的資訊之前提出一些簡單的問題。應該強制執行對於廣泛的化名***地址的訪問控制。政策和提醒程式應該發給員工。