例如,上周在红队与一家财富100强公司进行测试时,我发现数百个无线网络控制器都有问题应用补丁的ApacheOpenSSH服务正在运行;两者都可以让公共无线网络上的黑客以管理员的身份进入他们的内部公司网络。他们的IDS和防火墙设备包含公共脚本,这些脚本在很久以前就被发现存在远程绕过漏洞,以绕过任何愚蠢的身份验证。他们的电子邮件设备运行着不安全的FTP服务,允许匿名上传。
这些发现并不罕见。设备通常包含的漏洞与纯软件设备一样多;它们只是很难更新,通常不会更新。它们不是坚固的安全设备,而是攻击者的梦想。我喜欢做渗透测试在包含许多设备的环境中。这让我的生活变得轻松多了。
安全性失败之处9:沙箱为底层系统提供了一条直线每当一个新的安全沙盒被宣布时,我都会叹气。这些沙箱的目的是让攻击它们所保护的软件变得不可能,或者至少是非常困难。事实上,到目前为止开发的每一个安全沙箱都受到了黑客的关注。
今天,最大的安全沙箱可能最好的代表是Java和谷歌的Chrome浏览器,它们都遭受了超过100次的攻击,这些攻击穿透了沙箱,允许直接访问底层系统。然而,这并不能阻止梦想家们的梦想,他们认为他们将找到一个将停止所有的漏洞,并永远放下电脑的恶意。
不幸的是,许多计算机安全与其说是保护,不如说是安全剧场。你的工作就是从无数的解决方案中挑选出真正能降低风险的方案。上面列出的安全实践被过分夸大了。你怎么知道的?因为它正在实现每一个,恶意黑客和利用比以往更流行。你不能忽视事实。
相关文章
这个故事,”9个流行的IT安全实践只是不工作,最初发表于InfoWorld.com。关注最新的发展安全在InfoWorld.com上。了解最新的商业技术发展新闻,请跟随在Twitter上InfoWorld.com。
阅读更多有关安全的内容在信息世界的安全频道。
这个故事,“9个流行的IT安全实践只是不工作”是最初发表的信息世界 。