卡巴斯基：揭露容易被忽視的安全薄弱點

近期，來自卡巴斯基實驗室和Outpost24的安全專家針對歐洲一些組織進行了安全評估，研究了未修補漏洞的普遍性，目的是更好地了解全球IT安全狀況。這次聯合調查顯示，即使針對企業網絡發動并不復雜的攻擊，成功率也相當高，而且不需要使用成本較高的零日漏洞利用程序。盡管零日攻擊的數量在不斷上升，但網絡罪犯仍然大量使用已知的漏洞發動攻擊。這并不奇怪，因為一般企業要修復安全漏洞，需要60-70天的時間，而這一段時間足以讓網絡罪犯入侵企業網絡。安全專家團隊進行的安全評估還顯示，網絡罪犯根本無需入侵整個企業系統，只需“破解”管理系統的人即可。

通常，企業的安全基準要求在3個月內解決所有高危漏洞。但是77%的漏洞不僅3個月期限后依然存在，甚至在發現一年后仍然存在于企業IT環境中。卡巴斯基實驗室和Outpost24聯合小組收集到早在2010年就發現的漏洞數據，還發現在過去3年中一直處于危險狀態下的系統。這類未修補的漏洞非常危險，因為這些漏洞很容易被利用，并且會造成嚴重后果。有趣的是，調查人員甚至發現一些十年來從未修補漏洞的企業系統，而且企業還花錢采用相應服務監控其安全。

同Outpost21團隊收集數據后，卡巴斯基實驗室資深安全研究員David Jacoby決定進行一項社交工程攻擊試驗，測試在政府機構、酒店和私營企業的計算機上插入U盤是否容易做到。測試員David身著西裝，拿著一個拷貝有自身簡歷PDF文件的優盤來到11家組織的前臺，詢問工作人員是否可以幫助他打印一個文檔，并聲稱該文檔用于其他目的。這次安全評估的樣本包括3家不同的連鎖酒店、6家政府機構和2家大型私企。政府機構的計算機通常會存儲關于公民的敏感信息，而大型私企通常會同其他企業網絡相連，而經常出入五星級酒店的人員則包括外交人員、政治家和C級高管。

只有一家酒店同意讓David將優盤插入他們的計算機上，另外兩家酒店則拒絕這樣做。所有私營企業同樣拒絕了David的請求。David拜訪的6家政府機構中，有4個幫助David將優盤插入計算機中。其中兩家機構的計算機USB端口被屏蔽，所以工作人員讓他通過郵件發送文件。這些做法都很容易通過PDF軟件中的漏洞感染計算機系統。

“令人感到驚奇的是，酒店和私營企業的安全意識要高于政府機構。基于這些一手結果，我們看出確實存在一個問題。我們進行的安全評估適用于任何國家，因為安全漏洞被檢測出后到安全漏洞被修補之間存在巨大的時間差，這一問題普遍存在。U盤試驗結果對于那些尋求定制安全解決方案，用于抵御未來威脅的人來說是一記警鐘。同時，強調了培訓員工安全警惕意識的重要性！”卡巴斯基實驗室全球研究和分析團隊高級安全分析師David評論說。

Outpost24的首席安全管Martin Jartelius則表示 ：“目前很多企業浪費寶貴的資源預防未來威脅，同時又無法解決當今威脅以及更早的威脅造成的問題。我們應當從使用單獨的安全工具轉向在企業中引入集成的解決方案，使其成為企業流程的一部分，這一點非常重要。”