摘要: 近期去给某个客户进行公司业务的讲解,在会议室休息的间隙,我打开笔记本的无线网卡,发现了1个AP,并且没有安全验证机制,于是——就连上了。 后来继续讨论的时候,和用户提到这个问题,用户说不是吧?某个工程师在我笔记本电脑上试了某个内部的FTP,能连上,能下...
近期去给某个客户进行公司业务的讲解,在会议室休息的间隙,我打开笔记本的无线网卡,发现了1个AP,并且没有安全验证机制,于是——就连上了。
后来继续讨论的时候,和用户提到这个问题,用户说不是吧?某个工程师在我笔记本电脑上试了某个内部的FTP,能连上,能下载。我说我只要能连进来,就能做很多事情……
于是,20分钟后,就连上了内网的3个内部系统的数据库,里面理所当然的包括很多不适合公开的内容,还有某个安全产品的报表系统……隐去敏感信息的正文后,给用户截图发邮件。
看上去很简单,但是实际上反映了这样几个问题:
1、内部非法的网络设备会给安全带来很大威胁,如本例中的无线路由器
2、如果企业的网络中没有很好的准入控制,那么一旦联入内网则后患无穷
3、内部系统脆弱性相当脆弱,一部分是内部问题,一部分是集成商、安全厂商和应用软件厂商的问题
渗透测试不重要吗?风险评估不重要吗?
问题是,在很多企业中,甚至政府、军工,有这样的意识的人很少,多数停留在购买防火墙、防病毒软件上,而真正的威胁,实际上却来自内部用户——如果我是该企业的员工,那么企业的网络中对我可能没有一扇门是关闭的……因为我有充足的时间破解、攻破绝大多数的业务系统、应用系统,甚至安全产品。
另外批评下某些集成商、安全厂商、应用软件厂商:你们产品部署的时候,能为客户考虑一点点的安全因素不?能在产品装完后进行一点安全配置不?
最后,提醒下用户们:网络很不安全,稍微对企业不满或被竞争对手购买的员工都可以窃取你们的核心资料,甚至破坏你们的核心业务系统(ERP、OA、CAPP、PDM、PLM、人事管理、工资管理?都有可能),那时候再为当初节省安全产品的那点钱后悔,就都晚了!
加班刚刚归来一会儿,发几句牢骚。无它。
