網(wǎng)絡(luò)安全:這兩個基本缺陷使黑客很容易侵入您的系統(tǒng)

科技全頻
科技全頻
最常見的安全問題之一是弱密碼,使黑客可以使用蠻力攻擊來訪問帳戶。破解一個帳戶的密碼不足以完全獲得對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限,但是在許多情況下,只需這樣做,就可以利用已知漏洞來進一步訪問系統(tǒng)。

滲透測試人員存在共同的安全缺陷,使公司容易受到攻擊。黑客可以在短短30分鐘內(nèi)利用兩次安全漏洞來訪問公司的內(nèi)部網(wǎng)絡(luò)。

Positive Technologies的道德黑客和網(wǎng)絡(luò)安全研究人員對各個領(lǐng)域的組織進行了滲透測試,但發(fā)現(xiàn)了所有行業(yè)中常見的安全漏洞。新報告“企業(yè)信息系統(tǒng)的滲透測試”中詳細介紹了這些發(fā)現(xiàn)。

該報告基于對真實組織進行網(wǎng)絡(luò)測試的匿名數(shù)據(jù),該報告說,對于71%的公司來說,至少存在一個明顯的弱點,可能會為惡意的外部人員提供進入網(wǎng)絡(luò)的機會。

最常見的安全問題之一是弱密碼,使黑客可以使用蠻力攻擊來訪問帳戶。破解一個帳戶的密碼不足以完全獲得對內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限,但是在許多情況下,只需這樣做,就可以利用已知漏洞來進一步訪問系統(tǒng)。

“即使對于大型組織來說,問題也在于保護水平低。攻擊媒介主要基于利用已知的安全漏洞。這意味著公司未遵循基本的信息安全規(guī)則,”

除了弱密碼之外,超過三分之二的組織正在使用易受攻擊的軟件版本,該軟件尚未收到所需的安全更新,因此容易被利用。

Kilyusheva解釋說:“如果Web應(yīng)用程序包含存在被公共利用的漏洞,則攻擊者可以快速訪問內(nèi)部網(wǎng)絡(luò)。”

例如,在某些情況下,道德黑客將使用蠻力攻擊來訪問遠程桌面應(yīng)用程序-由于2020年在家工作的增加,這種方式變得越來越普遍。

用戶沒有訪問許多應(yīng)用程序的權(quán)限,但是通過打開映射應(yīng)用程序,安全測試人員可以訪問Windows資源管理器進程和命令行,從而能夠在操作系統(tǒng)上執(zhí)行命令并獲得更多訪問權(quán)限。

在滲透練習(xí)的三分之一中,研究人員能夠通過結(jié)合暴力破解和軟件漏洞來訪問公司網(wǎng)絡(luò)的內(nèi)部。在這種情況下,可以通過確保使用強密碼和所應(yīng)用的任何應(yīng)用程序都已應(yīng)用安全補丁來防止攻擊,因此不能在攻擊中利用它們。

在這些示例中,作為安全測試的一部分,道德黑客正在訪問這些網(wǎng)絡(luò),但是網(wǎng)絡(luò)罪犯正在尋求利用這些漏洞,并可以使用它們來訪問大量公司網(wǎng)絡(luò)。

道德黑客進入內(nèi)部網(wǎng)絡(luò)所需的平均時間為四天,但在一種情況下,只需30分鐘就可以完成。

“攻擊者可以對關(guān)鍵業(yè)務(wù)系統(tǒng)(例如金融系統(tǒng))進行攻擊,獲得對最高管理者計算機的訪問權(quán),或者對公司的客戶或合作伙伴進行攻擊。此外,黑客可以在暗網(wǎng)上將獲得的訪問權(quán)出售給其他犯罪分子進行攻擊-例如勒索軟件,” Kilyusheva說。

但是,通過遵循一些常見的安全性程序(例如不使用弱密碼),應(yīng)用多因素身份驗證以確保用軟件更新修補網(wǎng)絡(luò),組織可以保護自己免受多種形式的網(wǎng)絡(luò)攻擊。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門