系統入侵新聞無日無之,網絡犯罪駭人聽聞,不少銀行和金融機構,甚至損失慘重。黑客好像位位身懷絕技,原來網上有不少工具,即使一般技術,也從網上發動攻擊入侵。
不少公司大舉投資於IT保安,究竟多少投資才算合適?系統是否固若金湯?原來管理不善,往往才是致命傷。即使系統時時勤拂拭,也難保百密一疏。
不少攻擊針對已知漏洞,廠商頻頻推出更新軟件(Patch),堵塞相關漏洞。據保安研究組織CERT報告,99%的黑客攻擊,集中已公開的弱點,只要略加留意,便應可避免。
知易行難,從作業系統至路由器,甚至連IP電話,不斷推出更新軟件,即使安裝更新管理(Patch
Management),稍一不慎,黑客就如入無人之境。其次,設備設定失當,也可讓黑客有機可乘。近年,流行從Web進入的攻擊;如SQL Ingestion可向網站發出SQL指令,盗取數據庫資料。除了外部的攻擊,有時家賊難防,防火牆內發動的入侵,更難於制止。
攻擊防不勝防,即使安裝了最先進防火牆,看似銅牆鐵壁,有時也可能只是「自我感覺良好」,原來不堪一擊。為此,不少公司定期聘請保安審核公司專家,實地測試防禦能力,好像實彈演習一樣,作客觀審估。
市場上一直也有軟件,自動化測試保安的可靠程度,一般統稱之為專家系統,針對弱點管理(Vulnerability
Management)及攻擊測試(Penetration testing)兩方面。
專家系統模擬黑客入侵
上述兩種專家系統,全球公認最先進廠商為Rapid7,能一氣呵成,找出弱點後,以不同方式發動模擬攻擊。系統內有眾多組成部分,Rapid7的掃描器NeXpose先迅速探測,辨認和分類大量的設備、平台、應用甚至虛擬機器,再作有系統漏洞掃描,找出弱點的不同風險程度,建議如何堵塞或管理,是市場上能發現和辨認系統內最多不同元件和漏洞的專家系統。
2008年,Rapid7獲著名創投基金Bain
Capital注資,2011年再獲約五千萬美元額外注資。2012年五月,Rapid7公佈的首季業績收入,比去年增長達五成六,可見專家系統漸受重視。
Rapid7國際銷售副總裁Glenn
C. Williamson說:「Rapid7從成立時已早洞悉,漏洞測試產品必須功能全面,NeXpose是唯一完全整合的解決方案,鉅細無遺,能探測任何設備和平台的漏洞。」
掃描弱點配合模擬攻擊
系統的漏洞,可能源自防火牆或者路由器,或者是Web服務器、中間件、甚至是數據庫和作業平台。故此,NeXpose也為主要設備廠商,甚至軟件廠商作掃描弱點的標準工具。不少IT產品出廠之前,均先經NeXpose掃描,美國IT業界無人不識。
「以往不少公司通常每隔一段時間,就聘請專家來審核一下系統,通常要先掃描整個網上各種設備、平台和軟件服務,通常花一至數個星期才能完成報告。NexPose可作高速掃描,快速發現和分類IT軟硬件,自動找出易受攻擊的弱點,並釐定不同風險水平,處理先後次序。」
2009年,Rapid7收購了建立全球最大的公開源碼弱點測試數據庫Metasploit。Metasploit全世界有數以萬計的用戶,當他們發現任何系統或軟件漏洞,就公開紀錄在Metasploit數據庫內,供大家作不同滲透攻擊測試。Metasploit是最流行的免費滲透測試框架,專供測試系統安全性。
Williamson說:「收購Metasploit後,Rapid7推出了Nexpose的Plug-in,
Nexpose掃描器可先找出漏洞所在,有關漏洞資料自動載入Metasploit,然後通過其Autopwn工具接手模擬入侵。」收購後,Rapid7成為市場上唯一同時集掃描和攻擊測試的方案。
有了Metasploit,就可自動化入侵過程。Metasploit一旦攻破系統的弱點,就自動嘗試卸載多種攻擊彈藥(Payload),發動不同攻擊;例如加入新用戶和管理賬戶、啟動新執行緒和服務,植入DLL、甚至控制畫面等,不同作業系統容許不同方式攻擊。去年,Metasploit免費版本下載次數超過一百萬次,不少商業網站均曾被攻破。
Metasploit除了維持免費,以指令(Command
Line)執行的開源版,供免費下載, Rapid7也推出了收費的Metasploit企業版,具圖像介面,可產生詳細報表。
「收購後,Metasploit框架仍維持以開源方式運作,只不過Rapid7為所有新上載內容質量把關。所以Metasploit公用軟件質素,實際上比收購前還要好。」
NeXpose每日可掃描數以萬計IP,即時報告漏洞,部分客戶每日掃描數萬個IP,以確保系統的狀態。
器材設定錯誤後果堪虞
Williamson表示,黑客有時也針對一些意想不到的器材。今年一月,Rapid7一位專家HD
Moore發現,不少視像會議器材設定錯誤,可從遠端自動啟動,會議室內的重要對話,受商業間諜監聽。Moore向美國的《紐約時報》示範,啟動並監視美國多家創投公司、律師行、石油、醫藥公司,甚至投資銀行高盛的會議室,發現視像會議器材可從遠端啟動監聽,鏡頭還可仔細拍攝室內。
紐約時報報導後,不少企業高層大為震驚,檢討視像系統設定,為Rapid7帶來不少業務查詢。
「除了路由器和防火牆,很少人聯想到視像會議和IP話音設備,也會成為入侵目標。不計會議室內視像會議器材,還有數以萬計個人視像系統,甚至網絡打印機,都可被黑客竊取機密的資料。」美國就曾有公共機構發現,打印機與位於中國IP溝通,副本可能已送到黑客手中。
沒有留言:
發佈留言