设备的主要优势(提高安全性)并没有显现出来。通过部署一个较小的OS足迹(通常是锁定版本的Linux或者BSD),设备将会比运行传统操作系统的全功能电脑更加安全。然而,在超过十年的安全设备测试中,只出现过一个不包含任何已知公共漏洞的设备。设备只是在封闭的硬盘驱动器或固件上的操作系统,这些设计很难以即使进行漏洞修复。
例如,上周在针对一家财富100强公司的测试中,我们发现每个无线网络控制器都有未修复的Apache和OpenSSH服务,这些漏洞可能让攻击者通过公共无线网络作为管理员进入其内部企业网络。他们的IDS和防火墙设备包含公共脚本(很早以前就被发现存在远程绕过漏洞),且他们的电子邮件设备正在运行允许匿名上传的不安全的FTP服务。
这些结果让我们很惊讶。设备通常包含与软件相同数量的漏洞,但它们更难以修复。除了作为被硬化的安全设备外,它们也是攻击者的梦想。
行不通的安全方法No.9:沙盒提供到底层系统的直接路径
安全沙盒的目的在于让针对软件的漏洞利用不可能实现或者至少更难执行。事实上,安全沙盒并没有发挥这个作用。
目前,最大的安全沙盒可能是Java和谷歌的Chrome浏览器,而它们都遭受了100次漏洞利用,并允许对底层系统的直接访问。然而,这并没有阻止这些梦想家追求能够阻止所有漏洞利用和电脑病毒的沙箱。
很多安全方法和产品名不符其实,企业应该在众多解决方案中作出选择,选出能够真正降低风险的解决方案。
(责任编辑:闫小琪)
