卡巴斯基：揭露容易被忽视的安全薄弱点

近期，来自卡巴斯基实验室和Outpost24的安全专家针对欧洲一些组织进行了安全评估，研究了未修补漏洞的普遍性，目的是更好地了解全球IT安全状况。这次联合调查显示，即使针对企业网络发动并不复杂的攻击，成功率也相当高，而且不需要使用成本较高的零日漏洞利用程序。尽管零日攻击的数量在不断上升，但网络罪犯仍然大量使用已知的漏洞发动攻击。这并不奇怪，因为一般企业要修复安全漏洞，需要60-70天的时间，而这一段时间足以让网络罪犯入侵企业网络。安全专家团队进行的安全评估还显示，网络罪犯根本无需入侵整个企业系统，只需“破解”管理系统的人即可。

通常，企业的安全基准要求在3个月内解决所有高危漏洞。但是77%的漏洞不仅3个月期限后依然存在，甚至在发现一年后仍然存在于企业IT环境中。卡巴斯基实验室和Outpost24联合小组收集到早在2010年就发现的漏洞数据，还发现在过去3年中一直处于危险状态下的系统。这类未修补的漏洞非常危险，因为这些漏洞很容易被利用，并且会造成严重后果。有趣的是，调查人员甚至发现一些十年来从未修补漏洞的企业系统，而且企业还花钱采用相应服务监控其安全。

同Outpost21团队收集数据后，卡巴斯基实验室资深安全研究员David Jacoby决定进行一项社交工程攻击试验，测试在政府机构、酒店和私营企业的计算机上插入U盘是否容易做到。测试员David身着西装，拿着一个拷贝有自身简历PDF文件的优盘来到11家组织的前台，询问工作人员是否可以帮助他打印一个文档，并声称该文档用于其他目的。这次安全评估的样本包括3家不同的连锁酒店、6家政府机构和2家大型私企。政府机构的计算机通常会存储关于公民的敏感信息，而大型私企通常会同其他企业网络相连，而经常出入五星级酒店的人员则包括外交人员、政治家和C级高管。

只有一家酒店同意让David将优盘插入他们的计算机上，另外两家酒店则拒绝这样做。所有私营企业同样拒绝了David的请求。David拜访的6家政府机构中，有4个帮助David将优盘插入计算机中。其中两家机构的计算机USB端口被屏蔽，所以工作人员让他通过邮件发送文件。这些做法都很容易通过PDF软件中的漏洞感染计算机系统。

“令人感到惊奇的是，酒店和私营企业的安全意识要高于政府机构。基于这些一手结果，我们看出确实存在一个问题。我们进行的安全评估适用于任何国家，因为安全漏洞被检测出后到安全漏洞被修补之间存在巨大的时间差，这一问题普遍存在。U盘试验结果对于那些寻求定制安全解决方案，用于抵御未来威胁的人来说是一记警钟。同时，强调了培训员工安全警惕意识的重要性！”卡巴斯基实验室全球研究和分析团队高级安全分析师David评论说。

Outpost24的首席安全管Martin Jartelius则表示 ：“目前很多企业浪费宝贵的资源预防未来威胁，同时又无法解决当今威胁以及更早的威胁造成的问题。我们应当从使用单独的安全工具转向在企业中引入集成的解决方案，使其成为企业流程的一部分，这一点非常重要。”