企業安全從細節入手

無論是行業大鱷，還是微不足道的SOHO家庭辦公，一樣都會遭到黑客攻擊，而且危害不僅僅是銷掉幾張信用卡那么簡單。如何保護企業網絡和用戶的安全?以下這些細節切記不可忽視。

細節1:知道誰會被黑客盯上，怎樣、以及為何被盯上由于最近時而爆出知名公司(包括谷歌)網絡受到攻擊的新聞，許多企業主可能會想:“這種事不會發生在我身上—我的服務器上又沒什么非常寶貴的資料值得攻擊者下手”。事實上，許多攻擊根本不是針對性的，而是自我選擇的結果。也就是說，攻擊者廣撒魚網:將成千上萬封郵件發送到采集來的一批郵件地址上，給予回復的郵件地址(無論是通過點擊郵件里面的鏈接，還是發送回應信息的嵌入式圖片)都是自我選擇的目標，然后對其下手。

針對性攻擊有另一個廣為人知的說法，那就是“魚叉式網絡釣魚(spear phishing)”，這是一種比較危險的攻擊。一名出色的攻擊者會采取偵查手段—搜索目標組織的網站、上市公司向證券交易委員會提交的季度報告以及新聞稿，從中找出重要人物的姓名和郵件地址。如果這一招不靈，攻擊者可能會混跡于眾多行業會議和公開演講活動(會議網站上幾乎總是保存了幻燈片，其中演講者的姓名、頭銜和郵件地址一應俱全);他們還會光顧社交網絡網站—黑客只要通過Facebook粉絲頁面和LinkedIn個人檔案，摸清楚誰是企業負責人，然后就比較容易設圈套了。

一般的垃圾郵件發送者注重數量，而魚叉式網絡釣魚攻擊者注重質量。經常處理敏感文檔，或者在公司文件服務器方面擁有更高權限的任何高管，都可能會成為受害者。雖然一家公司的頭兒，比如首席執行官，會是魚叉式網絡釣魚攻擊者的主要目標，但同樣不能忽視了首席執行官的行政助理。行政助理平時每天替首席執行官收取陌生發件人發來的成百上千封郵件，可能還負責整理收到的所有郵件，往往壓力很大，絲毫不敢延遲對重要郵件的回復，因而更可能會在計算機安全方面作出糟糕的決定。

由于相似的原因，企業的法律顧問或專職律師也很容易成為攻擊目標，特別是遭到Adobe PDF攻擊。律師經常彼此之間交換大容量的PDF文檔。所以不難想象，當有人利用某律師常聯系的一家頗有影響力的知識產權律師事務所的虛假地址，發送傳達停止不正當競爭命令的假冒郵件，或者將惡意代碼添加到PDF文檔中，這名律師會不假思索地打開這樣的郵件;一旦PDF文檔里面的惡意代碼得到執行，律師的電腦實際上就已被攻擊者所“掌控”。

細節2:當心圈套

企圖獲取競爭情報或實施企業間諜行為的魚叉式網絡釣魚攻擊，可能會采用極具針對性的郵件或即時消息(如IM和Twitter消息等)，以使受害者更容易上鉤。一家研究機構的知名核物理學家不太可能會點擊兜售假冒勞力士手表或純天然壯陽藥的鏈接，但是如果郵件邀請受害者在一場知名的核物理學討論會上發表專題演講，就極容易中招。

你可能覺得，在2010年，大多數用戶(尤其是技術員工)會對聲稱“我們在改進安全措施”的任何要求用戶密碼重置的伎倆或郵件產生懷疑;但不幸的是，還是有多得驚人的用戶在上這種當。Special Ops Security公司在為企業組織和政府部門進行安全評估時，會進行一些有控制的試驗:有意地針對該組織的某些人進行網絡釣魚攻擊，跟蹤在加密網站上的點擊操作和密碼輸入。試驗甚至為組織的CIO們開設了自助服務門戶網站PhishMe.com，CIO們可以對自己的員工進行模擬的魚叉式網絡釣魚攻擊。模擬測試的結果往往讓人大吃一驚，人們的安全意識真的不如CIO們想象的那樣強。

細節3:使用惟一的郵件地址，將密碼重置郵件拒之門外

如果你覺得自己不會輕易相信談論貴公司即將推出的新產品的針對性郵件，或者是關于集體訴訟調解通知的惡意PDF文檔，那么還要當心一類始終存在的密碼重置和社交網絡通知郵件。遺憾的是，由于用戶數量眾多，大多數網站設有忘記密碼后重置密碼的功能，通過向用戶發送郵件，以便使用戶能夠正常使用賬戶。此外，我們往往認為社交網站會發來通知郵件，提醒我們有新朋友請求，或者別人發布了我們自己的照片，黑客卻會利用這種人性的弱點，讓你無法抗拒—怎樣才能忍住不去點擊題為“見過你在昨晚狂歡時拍下的這張照片嗎”的鏈接?怎樣才能辨別這封郵件是否真是Facebook或MySpace發送的?

最終，只有足夠多的網站采用了電子簽名和DNS級安全機制，才能讓這些虛假郵件無處藏身。在此之前，我們可以使用一種方法來確保收到的郵件真實無誤:為經常訪問的每個社交網絡網站(或者電子商務網站、航空公司網站等)使用惟一的郵件地址。

如果你很幸運，擁有自己的域名和郵件服務器(Google Apps在這方面大有幫助)，可以獲得linkedin@johndoe.name和bankofamerica@janesmith.org之類的郵件地址;如果你收到聲稱由某網站發來、但接收郵件的地址卻不相符的任何通知郵件，要意識到該郵件非常可疑，立即把它刪掉。

大多數人沒有自己的域名，或者有些人擔心別人可能很容易猜中自己的myspace@alicejones.net地址解析方案;對這些人來說，可以借助一些郵件偽裝服務，比如Sneakemail.com。它可以讓你創建數量不受限制的郵件別名，每個月只要付2美元就夠了。這樣一來，你可以為每個網站使用一個惟一的郵件地址，所有郵件都會轉發到你的真實郵箱。這項服務甚至還能處理回信，所以你的真實郵件地址根本不會出現在網站上。

如果你收到的密碼重置通知郵件是直接發到你的辦公郵件地址，而不是發到你在該網站的惟一地址，那你就會知道這不是垃圾郵件，就是網絡釣魚。這種做法的另一個好處是，你還能發現哪些恬不知恥的網站在與第三方共享你的個人信息。如果你收到一家公司主動發來的幾封垃圾郵件，而這個收信地址你只為某家航空公司的飛行?？途銟凡刻峁┻^，那不用說，你的個人信息就是被這家航空公司泄露了。趕緊聯系該俱樂部的隱私部門，要求他們改正錯誤，并立即銷掉這個賬戶吧!

細節4:不要點擊郵件里面的任何內容

不要點擊郵件里面的鏈接，連已知發件人發來的郵件鏈接都不要點擊。格式規范的HTML郵件在大大的“點擊這里”按鈕正下方會有一個ULR，通常在寫明“如果你的電子郵件程序不允許鏈接，請將下列內容拷貝粘貼到你的瀏覽器”的部分里面。如果仍找不到URL，可以將郵件閱讀器切換成顯示純文本(在Gmail中，可以使用回復菜單中的Show original選項)，可以在這里找到URL。

如果真的很想點擊某個鏈接，你可以高亮顯示URL，然后把它粘貼到Web瀏覽器的搜索欄中，這樣可以去掉剪貼板上獲得的任何HTML或富文本格式，只呈現純文本格式的URL。這就屏蔽掉了大多數URL混淆伎倆，比如www.yahoo.com.com.attacker.evil.ru，你可能沒想到域名服務器(DNS)是從右到左來讀取URL的，而人是從左到右來讀取URL的(這導致你可能會覺得自己在訪問yahoo.com的某個頁面)。

此外，把ULR輸入到搜索引擎，也可以保護自己遠離同形異義字攻擊，比如有人可能會發送www.paypa1.com(注意!這里是數字“1”而不是小寫字母“l”)鏈接。從前幾個鏈接可以明顯看出哪里有不對勁的地方，不過國際化域名可能會增加困難。

細節5:要經常并且及時打補丁

打補丁絕對有必要，而且幾乎總是免費的。你需要核實的第一件事是:打的所有補丁是不是最新版本。設置iCal/Outlook提醒功能，以便每個月打一次補丁。定在每個月的第二個星期三打補丁是個好日子，因為微軟會在每月的第二個星期二發布安全補丁。你也可以安排在付按揭或房租時，捎帶打補丁—在付錢時，也要記得打補丁。

打補丁并不是說只要雙擊Windows Update就行了。如果你還沒有激活Microsoft Update(Windows Update的變種)，就接收不到任何微軟Office更新程序。不要滿足于此!你要確保時常訪問Adobe網站，更新Flash插件和PDF Reader軟件。Firefox在這方面做得很到位:能夠自動分發更新程序，不需要用戶干預，但它不會把你升級到新的重大版本，所以同樣要訪問Firefox網站。

期盼有一天，微軟會向所有Windows軟件發布者開放Windows Update基礎架構，以便大家通過一個集中的地方來發布各自的更新程序，而用戶則只要點擊一下就可以升級所有的相關軟件。而在這一天到來之前，不妨使用像Secunia的Personal Software Inspector(個人用戶可免費使用)這類軟件，它會掃描計算機上的所有軟件，以便集中查看哪些還沒有打上安全補丁。

有些企業的IT管理人員很自豪地聲稱，該公司每隔5分鐘就更新反病毒軟件的特征庫，但是其關鍵服務器使用的卻還是老版本的IE和Adobe，2007年以后的操作系統補丁居然都沒有打上!

有人稱，谷歌之所以遭到攻擊，原因就是其一名員工使用了過時的Web瀏覽器。

硬件也需要更新。記得清查一下硬件，檢查固件是否需要更新(這與軟件補丁一樣重要)。只要硬件有網站端口，就要半年訪問一次該硬件廠商的網站—不僅僅是路由器和交換機，還有多功能復印機、餐館的銷售點(POS)終端、藍光播放機、專用小交換機(PBX)以及具有Twitter功能的咖啡壺等。

細節6:別讓某人阻止你運行安全網絡

有的企業CIO會說，自己公司的服務器沒有打補丁，是因為“某人說可以不打補丁”，這個某人可能是公司的產品開發經理或銷售副總裁。這種風險企業其實無法接受。沒有打補丁的服務器絕對不可以訪問互聯網。員工只有通過“不太安全”的專用網絡上的專用計算機(不是用來讀取郵件、瀏覽互聯網的那種計算機)，才能訪問這些因為沒有打補丁而變得很危險的服務器。

要是公司下面某個部門運行的軟件導致無法使用最新的安全補丁，IT部門就需要把這些服務器與網絡其余部分隔離開來，就像把機密網絡與非機密網絡隔離開來那樣。

此外，除非企業很重視信息安全，否則就避免不了信息竊取和成本高昂的系統停運問題。只要有可能受到過污染，一罐罐的花生醬就要在廠商開始召回的幾小時內從商場貨架上撤下;然而奇怪的是，一臺用來為數百個員工處理工資的財務服務器明明有安全漏洞，企業卻任其運行好幾個月。

記住，絕對不能因為某人說可以不打補丁，而在網絡上運行那些沒有打補丁的服務器。

細節7:P2P應該

遠離企業網絡

應該說，P2P就不該出現在辦公計算機上。P2P網絡上的惡意軟件帶來的危險，遠遠超出了對BitTorrent或KaZaa的任何正當需要。應該選擇信譽可靠的網站來獲得共享軟件。

如果非得使用P2P，就使用單獨的非管理員用戶賬戶來進行這些操作。千萬不要在使用管理員賬戶的情況下，運行從P2P網絡上下載的軟件。記得還要一直用幾個不同的反病毒軟件包來不斷掃描這些下載的軟件。如果沒有像Norton Internet Security 2010這樣可靠的安全軟件包，使用Virustotal.com也很不錯，它可以快速掃描可疑的下載內容。如果是精通技術的高級用戶，不妨在虛擬機里面運行P2P軟件，把主機操作系統隔離開來。

細節8:

牢牢鎖定網絡

趕緊將公司和家里的路由器DNS解析器改成OpenDNS，別使用互聯網服務提供商(ISP)提供的默認DNS。OpenDNS擁有大容量的緩存，可以加快查詢;還有一項免費的網站過濾服務，一些企業可能會有興趣。即使不需要過濾服務，其可靠、安全的DNS基礎架構也可以在DNS層面讓你遠離一些眾所周知的攻擊。

花5分鐘重新配置后，你的互聯網連接會變得更快，因為OpenDNS服務器的響應速度通常快于默認的ISP服務器。OpenDNS的網站上會教會你如何將家里的路由器或公司的活動目錄域控制器改成其解析器;它的基礎架構分布在全世界，確保了快速響應，無論用戶在哪里。

對高級用戶或任何IT從業人員來說，在服務器和工作站上都應該使用基于主機的出站防火墻。某個未知或新的進程決定建立出站連接時能接到通知，絕對很有必要。這樣一來，即使有什么威脅避開了反病毒和反惡意軟件防御機制，還是能在出站防火墻處逮住它。當然，如果用戶對技術一竅不通，又總是點擊任何彈出窗口上顯示的“接受”，那么這一招毫無幫助。

應該在企業內實施出站防火墻規則。大多數公司為用戶制定了“允許所有連接”的出站政策。這在過去也許可以接受，但現在公司不該制定這么寬松的政策了。可以先限制用戶只能建立HTTP和HTTPS出站連接;雖然這不會保護企業網絡遠離一切危險，但可以關閉很大一部分可能未經授權的出站連接。還可以用OpenDNS來限制對不良網站的訪問。

最重要但也最常被忽視的是，服務器和非軍事區(DMZ)網絡應該只允許少數幾個明確的出站連接(比如郵件服務器的出站SMTP連接)?，F代的數據包檢測防火墻智能化程度非常高，允許Web服務器回應針對網頁的入站請求，但讓Web服務器與外界建立連接極少有正當的理由。

當然，也有例外的情況(比如業務合作伙伴的庫存交換，或者異地數據備份)。但是一般來說，大多數服務器是響應針對信息的入站請求，自己并不建立連接。要是黑客闖入了你的服務器，他或她最先會做的一件事就是利用你的服務器連接到貴公司內部的另一臺機器，或者連接回自己的網絡?！霸试S所有連接”的通用政策只會招惹麻煩。