背景介紹

從紙筆辦公到物聯(lián)網(wǎng)時代，你知道哪些攻擊面是攻擊者最常利用，而我們又最常忽略的嗎?

現(xiàn)在，在你的辦公室中可能還有一些老舊的傳真機或是布滿灰塵的打印機，在你的眼中，它們或許只是已經(jīng)無法用來發(fā)送郵件或復(fù)印文檔的過時技術(shù)。你可能也會將收發(fā)室/信房視為收集未經(jīng)請求的垃圾信件的地方，而這些垃圾信件很快就會被你丟進垃圾箱。

是的，如此尋常的物件，如此尋常的操作，可能每天都在我們的生活和工作中上演。但是，攻擊者卻能夠從中發(fā)現(xiàn)一些不同的東西：漏洞，一些通常會被安全部門忽略的漏洞。要記住，非計算機向量上的網(wǎng)絡(luò)攻擊要比你想象的更常見。

例如，今年8月，Check Point公司的研究人員就披露了全球數(shù)以億計傳真機所使用的通信協(xié)議中存在的兩個嚴(yán)重遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。該攻擊被稱為Faxploit，其中涉及了兩個緩沖區(qū)溢出漏洞，一個在解析COM標(biāo)記時觸發(fā)(CVE-2018-5925)，另一個基于堆棧的問題在解析DHT標(biāo)記(CVE-2018-5924)時發(fā)生，這可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

為了證明這一攻擊，Check Point惡意軟件研究團隊負(fù)責(zé)人Yaniv Balmas和安全研究員Eyal Itkin還針對市面上流行的HP Officejet Pro多功能一體機、HP Officejet Pro 6830一體式打印機以及OfficeJet Pro 8720進行了測試。結(jié)果顯示，研究人員只需使用一根電話線，然后發(fā)送傳真，就可以完全控制傳真機，并將惡意載荷橫向擴散到打印機可訪問的計算機網(wǎng)絡(luò)中。

根據(jù)Check Point的研究，許多其他供應(yīng)商的傳真和多功能打印機，以及流行的在線傳真服務(wù)(fax2email)都使用了相同的協(xié)議，因此也極可能受到此類攻擊的影響。

雖然傳真機并不是最現(xiàn)代化的技術(shù)，但是根據(jù)Spiceworks公司2017年進行的一項調(diào)查顯示，62%的受訪者表示他們?nèi)栽谑褂脤嶓w傳真機;而IDC進行的一項調(diào)查也顯示，82%的受訪者表示他們使用傳真的情況在2017年實際上是有所增長的。尤其令人擔(dān)憂的現(xiàn)狀是，傳真仍廣泛應(yīng)用于醫(yī)療保健、法律、銀行以及房地產(chǎn)等領(lǐng)域，被組織用于存儲和處理大量高度敏感的個人數(shù)據(jù)。

當(dāng)然，這只是經(jīng)常被組織忽略的攻擊向量中的一個例子，事實上，還存在很多諸如此類的高危卻容易被人忽略的攻擊面，接下來就為大家一一揭露：

7大攻擊面

1. 打印機/多功能機

[[249857]]

InGuardians高級管理安全分析師Tyler Robinson表示，信息安全專業(yè)人員應(yīng)該確保他們的打印機不會暴露在互聯(lián)網(wǎng)上。除此之外，他們還應(yīng)該更改此類設(shè)備的默認(rèn)密碼，并指定相關(guān)負(fù)責(zé)人對打印機安全負(fù)責(zé)。

信息安全專業(yè)人員應(yīng)該意識到，大多數(shù)多功能設(shè)備都有硬盤驅(qū)動器和完整的操作系統(tǒng)運行其上，這就意味著，黑客可能會竊取打印文檔并從這些設(shè)備中掃描PDF文件。

此外，對于那些選擇租用多功能設(shè)備，并每隔幾年就會更換一次租賃設(shè)備的企業(yè)而言，必須制定一份明確的銷毀策略，確保硬盤在設(shè)備返回供應(yīng)商處之前被銷毀。

2. 老舊傳真設(shè)備

[[249858]]

信息安全專業(yè)人員需要了解，個人身份信息可能會經(jīng)由老舊的傳真設(shè)備泄露出去。黑客通常會將傳真轉(zhuǎn)發(fā)到電子郵件地址，或者只是通過傳真機發(fā)送數(shù)據(jù)。最好的防范措施是進行適當(dāng)?shù)那鍐危i定默認(rèn)接口，并確保傳真機不會暴露在互聯(lián)網(wǎng)上。對于不得不用傳真機傳遞關(guān)鍵信息的情況，也應(yīng)該通過專用線路進行操作。

由于多功能設(shè)備的加速發(fā)展，眾多企業(yè)已經(jīng)逐漸選擇淘汰傳真設(shè)備。對于選擇淘汰這些老舊傳真機的企業(yè)而言，最重要的就是要擦拭掉這些傳真機的內(nèi)存，并確保他們的處理供應(yīng)商提供適當(dāng)?shù)匿N毀文件。而對于那些仍然依賴傳真機的醫(yī)療保健等行業(yè)而言，請務(wù)必更改設(shè)備的默認(rèn)密碼，并禁用所有遠(yuǎn)程管理功能。

3. 會議室的視頻系統(tǒng)

[[249859]]

安全專家強調(diào)稱，視頻會議系統(tǒng)也不應(yīng)該暴露于公共互聯(lián)網(wǎng)上。公司應(yīng)該明確規(guī)定誰可以使用這些系統(tǒng)的具體訪問權(quán)限，并根據(jù)需要打開連接，而不是將其全天候開放。

一名研究人員還舉例稱，他曾接觸到一家企業(yè)，其Polycom視頻會議系統(tǒng)總是受到攻擊。在后續(xù)檢查期間，他發(fā)現(xiàn)，起因竟是該公司并未更改默認(rèn)密碼。所以，安全專業(yè)人員必須認(rèn)真落實這些基本的管理任務(wù)，因為毫無疑問，黑客完全有能力通過視頻會議系統(tǒng)遠(yuǎn)程監(jiān)視您的對話和公司會議。

4. 收發(fā)室系統(tǒng)

[[249860]]

首先要意識到，將快遞運送和發(fā)往收發(fā)室的很大可能是不受信任或未經(jīng)請求的代理商，這類人永遠(yuǎn)不能訪問安全區(qū)域，如果可能，他們應(yīng)該與公司環(huán)境之外的收發(fā)室進行交互。公司必須讓您的收發(fā)室工作人員熟悉并能夠識別常規(guī)的FedEx和UPS等快遞標(biāo)識。

此外，公司還需要對員工進行培訓(xùn)，告訴他們只需通過一個小小的拇指驅(qū)動器(無論是無意中撿到或是從未知來源的郵件中收到)就可以成功感染企業(yè)網(wǎng)絡(luò)，因此，無論何時，不可輕易信任來自收發(fā)室的信件內(nèi)容或?qū)⑵渲械臇|西用于公司網(wǎng)絡(luò)中。

5. 供熱通風(fēng)和空調(diào)(HVAC)系統(tǒng)

[[249861]]

不知大家是否還記得發(fā)生在2013年的Target數(shù)據(jù)泄漏事件?因其影響范圍之廣(超過1億用戶的信用卡、卡號、戶主、地址、郵件地址以及電話皆被曝光)、損失之嚴(yán)重(被偷信用卡估計價值4億美元)而成為信息安全領(lǐng)域中無法磨滅的一段歷史。而這起事件最初的入侵點就是一個為攻擊者所入侵的第三方HVAC系統(tǒng)。

公司必須首先讓HVAC系統(tǒng)在自己的網(wǎng)絡(luò)段上運行，然后再進行適當(dāng)?shù)目刂坪捅O(jiān)控。如今，HVAC系統(tǒng)中的物聯(lián)網(wǎng)傳感器通常都是由一些IT經(jīng)驗有限的人員部署完成——他們在部署這些物聯(lián)網(wǎng)設(shè)備和傳感器之前通常不會對其進行徹底測試，且使用默認(rèn)出廠密碼對其進行安裝，并且很少了解如何維護軟件更新或加固系統(tǒng)。更令人擔(dān)憂的現(xiàn)實是，由于物聯(lián)網(wǎng)發(fā)展過于迅猛，導(dǎo)致物聯(lián)網(wǎng)市場中的許多公司都是曇花一現(xiàn)般的存在繼而消亡，很多企業(yè)維持不到兩三年，更不用提持續(xù)的軟件更新和技術(shù)支持了。

6. 接待區(qū)

[[249862]]

無論是VOIP網(wǎng)絡(luò)電話、接待區(qū)信息亭、數(shù)字電視顯示器，還是與訪客建立虛擬連接的虛擬接待員，公司接待區(qū)也應(yīng)該在他們自己的網(wǎng)段上運行。

安全專家建議稱，接待區(qū)網(wǎng)段應(yīng)該與企業(yè)網(wǎng)絡(luò)隔離，并加強抵御物理攻擊。具體措施包括鎖定USB端口或以太網(wǎng)插孔，如果有觸屏，請使用唯一密碼進行配置，并禁用所有管理功能。

7. 安全攝像頭和門禁系統(tǒng)

[[249863]]

企業(yè)還應(yīng)該劃分安全攝像頭和門禁系統(tǒng)。這些系統(tǒng)需要縱深防御，因為公司需要依賴它們來控制對敏感區(qū)域的訪問。而近年來，針對安全攝像頭和門禁系統(tǒng)的攻擊事件頻發(fā)，讓人們意識到黑客想要“破門而入”，訪問企業(yè)網(wǎng)絡(luò)是多么容易的一件事。

如今，越來越多的企業(yè)開始重視物理安全問題，因為它會影響企業(yè)整體的網(wǎng)絡(luò)安全。為此，安全專家建議稱，企業(yè)必須將門禁和攝像系統(tǒng)與其他IT系統(tǒng)同等看待——及時保持更新，將其劃分到自己的網(wǎng)段中，并實時監(jiān)控日志以檢測攻擊行為。