揭秘7大最易忽略的攻擊面

從紙筆辦公到物聯網時代，你知道哪些攻擊面是攻擊者最常利用，而我們又最常忽略的嗎？

現在，在辦公室中可能還有一些老舊的傳真機或是布滿灰塵的打印機，在你的眼中，它們或許只是已經無法用來發送郵件或復印文檔的過時技術。你可能也會將收發室視為收集未經請求的垃圾信件的地方，而這些垃圾信件很快就會被丟進垃圾箱。

是的，如此尋常的物件，如此尋常的操作，可能每天都在我們的生活和工作中上演。但是，攻擊者卻能夠從中發現一些不同的東西———漏洞，一些通常會被安全部門忽略的漏洞。要記住，非計算機向量上的網絡攻擊要比想象的更常見。

例如，2018年8月，Check Point公司的研究人員就披露了全球數以億計傳真機所使用的通信協議中，存在的兩個嚴重遠程代碼執行（RCE）漏洞。該攻擊被稱為Faxploit，其中涉及了兩個緩沖區溢出漏洞，一個在解析COM標記時觸發（CVE-2018-5925），另一個基于堆棧的問題在解析DHT標記（CVE-2018-5924）時發生，這可以導致遠程代碼執行。

為了證明這一攻擊，Check Point惡意軟件研究團隊負責人Yaniv Balmas和安全研究員Eyal Itkin還針對市面上流行的HP Officejet Pro多功能一體機、HP Officejet Pro 6830一體式打印機以及OfficeJet Pro 8720進行了測試。結果顯示，研究人員只需使用一根電話線，然后發送傳真，就可以完全控制傳真機，并將惡意載荷橫向擴散到打印機可訪問的計算機網絡中。

根據Check Point的研究，許多其他供應商的傳真和多功能打印機，以及流行的在線傳真服務（fax2email）都使用了相同的協議，因此也極可能受到此類攻擊的影響。

雖然傳真機并不是最現代化的技術，但根據Spiceworks公司2017年進行的一項調查顯示，62 %的受訪者表示他們仍在使用實體傳真機；而IDC進行的一項調查也顯示，82 %的受訪者表示他們使用傳真的情況在2017年實際上是有所增長的。尤其令人擔憂的現狀是，傳真仍廣泛應用于醫療保健、法律、銀行以及房地產等領域，被組織用于存儲和處理大量高度敏感的個人數據。

當然，這只是經常被組織忽略的攻擊向量中的一個例子，事實上還存在很多諸如此類的高危卻容易被人忽略的攻擊面，接下來就為大家一一揭露：

1.打印機/多功能機

InGuardians高級管理安全分析師Tyler Robinson表示，信息安全專業人員應該確保他們的打印機不會暴露在互聯網上。除此之外，他們還應該更改此類設備的默認密碼，并指定相關負責人對打印機安全負責。

信息安全專業人員應該意識到，大多數多功能設備都有硬盤驅動器和完整的操作系統運行其上，這就意味著，黑客可能會竊取打印文檔并從這些設備中掃描PDF文件。此外，對于那些選擇租用多功能設備，并每隔幾年就會更換一次租賃設備的企業而言，必須制定一份明確的銷毀策略，確保硬盤在設備返回供應商處之前被銷毀。

2.老舊傳真設備

信息安全專業人員需要了解，個人身份信息可能會經由老舊的傳真設備泄露出去，黑客通常會將傳真轉發到電子郵件地址，或者只是通過傳真機發送數據。最好地防范措施是進行適當的清單、鎖定默認接口，并確保傳真機不會暴露在互聯網上。對于不得不用傳真機傳遞關鍵信息的情況，也應該通過專用線路進行操作。

由于多功能設備的加速發展，眾多企業已經逐漸選擇淘汰傳真設備。對于選擇淘汰這些老舊傳真機的企業而言，最重要的就是要擦拭掉這些傳真機的內存，并確保他們的處理供應商提供適當的銷毀文件。而對于那些仍然依賴傳真機的醫療保健等行業而言，請務必更改設備的默認密碼，并禁用所有遠程管理功能。

3.會議室的視頻系統

安全專家強調稱，視頻會議系統也不應該暴露于公共互聯網上。公司應該明確規定誰可以使用這些系統的具體訪問權限，并根據需要打開連接，而不是將其全天候開放。一名研究人員還舉例稱，他曾接觸到一家企業，其Polycom視頻會議系統總是受到攻擊，在后續檢查期間他發現，起因竟是該公司并未更改默認密碼。所以，安全專業人員必須認真落實這些基本的管理任務，因為毫無疑問，黑客完全有能力通過視頻會議系統遠程監視您的對話和公司會議。

4.收發室系統

首先要意識到，將快遞運送和信件發往收發室的很大可能是不受信任或未經請求的代理商，這類人永遠不能訪問安全區域，如果可能，他們應該與公司環境之外的收發室進行交互。公司必須讓收發室工作人員熟悉并能夠識別常規的FedEx和UPS等快遞標識。

此外，公司還需要對員工進行培訓，告訴他們只需通過一個小小的拇指驅動器（無論是無意中撿到或是從未知來源的郵件中收到）就可以成功感染企業網絡，因此，無論何時，不可輕易信任來自收發室的信件內容或將其中的東西用于公司網絡中。

5.供熱通風和空調（HVAC）系統

不知大家是否還記得發生在2013年的Target數據泄漏事件？因其影響范圍之廣（超過1億用戶的信用卡、卡號、戶主、地址、郵件地址以及電話皆被曝光）、損失之嚴重（被偷信用卡估計價值4億美元）而成為信息安全領域中無法磨滅的一段歷史。而這起事件最初的入侵點就是一個為攻擊者所入侵的第三方HVAC系統。

公司必須首先讓HVAC系統在自己的網絡段上運行，然后再進行適當的控制和監控。如今HVAC系統中的物聯網傳感器通常都是由一些IT經驗有限的人員部署完成———他們在部署這些物聯網設備和傳感器之前通常不會對其進行徹底測試，且使用默認出廠密碼對其進行安裝，并且很少了解如何維護軟件更新或加固系統。更令人擔憂的現實是，由于物聯網發展過于迅猛，導致物聯網市場中的許多公司都是曇花一現般的存在繼而消亡，很多企業維持不到2～3年，更不用提持續的軟件更新和技術支持了。

6.接待區

無論是VOIP網絡電話、接待區信息亭、數字電視顯示器，還是與訪客建立虛擬連接的虛擬接待員，公司接待區也應該在他們自己的網段上運行。

安全專家建議稱，接待區網段應該與企業網絡隔離，并加強抵御物理攻擊。具體措施包括鎖定USB端口或以太網插孔，如果有觸屏，請使用唯一密碼進行配置，并禁用所有管理功能。

7.安全攝像頭和門禁系統

企業還應該劃分安全攝像頭和門禁系統。這些系統需要縱深防御，因為公司需要依賴它們來控制對敏感區域的訪問。而近年來，針對安全攝像頭和門禁系統的攻擊事件頻發，讓人們意識到黑客想要“破門而入”，訪問企業網絡是多么容易的一件事。

如今，越來越多的企業開始重視物理安全問題，因為它會影響企業整體的網絡安全。為此，安全專家建議稱，企業必須將門禁和攝像系統與其他IT系統同等看待———及時保持更新，將其劃分到自己的網段中，并實時監控日志以檢測攻擊行為。