從紙筆辦公到物聯(lián)網(wǎng)時(shí)代，你知道哪些攻擊面是攻擊者最常利用，而我們又最常忽略的嗎？

現(xiàn)在，在辦公室中可能還有一些老舊的傳真機(jī)或是布滿灰塵的打印機(jī)，在你的眼中，它們或許只是已經(jīng)無(wú)法用來(lái)發(fā)送郵件或復(fù)印文檔的過(guò)時(shí)技術(shù)。你可能也會(huì)將收發(fā)室視為收集未經(jīng)請(qǐng)求的垃圾信件的地方，而這些垃圾信件很快就會(huì)被丟進(jìn)垃圾箱。

是的，如此尋常的物件，如此尋常的操作，可能每天都在我們的生活和工作中上演。但是，攻擊者卻能夠從中發(fā)現(xiàn)一些不同的東西———漏洞，一些通常會(huì)被安全部門(mén)忽略的漏洞。要記住，非計(jì)算機(jī)向量上的網(wǎng)絡(luò)攻擊要比想象的更常見(jiàn)。

例如，2018年8月，Check Point公司的研究人員就披露了全球數(shù)以?xún)|計(jì)傳真機(jī)所使用的通信協(xié)議中，存在的兩個(gè)嚴(yán)重遠(yuǎn)程代碼執(zhí)行（RCE）漏洞。該攻擊被稱(chēng)為Faxploit，其中涉及了兩個(gè)緩沖區(qū)溢出漏洞，一個(gè)在解析COM標(biāo)記時(shí)觸發(fā)（CVE-2018-5925），另一個(gè)基于堆棧的問(wèn)題在解析DHT標(biāo)記（CVE-2018-5924）時(shí)發(fā)生，這可以導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

為了證明這一攻擊，Check Point惡意軟件研究團(tuán)隊(duì)負(fù)責(zé)人Yaniv Balmas和安全研究員Eyal Itkin還針對(duì)市面上流行的HP Officejet Pro多功能一體機(jī)、HP Officejet Pro 6830一體式打印機(jī)以及OfficeJet Pro 8720進(jìn)行了測(cè)試。結(jié)果顯示，研究人員只需使用一根電話線，然后發(fā)送傳真，就可以完全控制傳真機(jī)，并將惡意載荷橫向擴(kuò)散到打印機(jī)可訪問(wèn)的計(jì)算機(jī)網(wǎng)絡(luò)中。

根據(jù)Check Point的研究，許多其他供應(yīng)商的傳真和多功能打印機(jī)，以及流行的在線傳真服務(wù)（fax2email）都使用了相同的協(xié)議，因此也極可能受到此類(lèi)攻擊的影響。

雖然傳真機(jī)并不是最現(xiàn)代化的技術(shù)，但根據(jù)Spiceworks公司2017年進(jìn)行的一項(xiàng)調(diào)查顯示，62 %的受訪者表示他們?nèi)栽谑褂脤?shí)體傳真機(jī)；而IDC進(jìn)行的一項(xiàng)調(diào)查也顯示，82 %的受訪者表示他們使用傳真的情況在2017年實(shí)際上是有所增長(zhǎng)的。尤其令人擔(dān)憂的現(xiàn)狀是，傳真仍廣泛應(yīng)用于醫(yī)療保健、法律、銀行以及房地產(chǎn)等領(lǐng)域，被組織用于存儲(chǔ)和處理大量高度敏感的個(gè)人數(shù)據(jù)。

當(dāng)然，這只是經(jīng)常被組織忽略的攻擊向量中的一個(gè)例子，事實(shí)上還存在很多諸如此類(lèi)的高危卻容易被人忽略的攻擊面，接下來(lái)就為大家一一揭露：

1.打印機(jī)/多功能機(jī)

InGuardians高級(jí)管理安全分析師Tyler Robinson表示，信息安全專(zhuān)業(yè)人員應(yīng)該確保他們的打印機(jī)不會(huì)暴露在互聯(lián)網(wǎng)上。除此之外，他們還應(yīng)該更改此類(lèi)設(shè)備的默認(rèn)密碼，并指定相關(guān)負(fù)責(zé)人對(duì)打印機(jī)安全負(fù)責(zé)。

信息安全專(zhuān)業(yè)人員應(yīng)該意識(shí)到，大多數(shù)多功能設(shè)備都有硬盤(pán)驅(qū)動(dòng)器和完整的操作系統(tǒng)運(yùn)行其上，這就意味著，黑客可能會(huì)竊取打印文檔并從這些設(shè)備中掃描PDF文件。此外，對(duì)于那些選擇租用多功能設(shè)備，并每隔幾年就會(huì)更換一次租賃設(shè)備的企業(yè)而言，必須制定一份明確的銷(xiāo)毀策略，確保硬盤(pán)在設(shè)備返回供應(yīng)商處之前被銷(xiāo)毀。

2.老舊傳真設(shè)備

信息安全專(zhuān)業(yè)人員需要了解，個(gè)人身份信息可能會(huì)經(jīng)由老舊的傳真設(shè)備泄露出去，黑客通常會(huì)將傳真轉(zhuǎn)發(fā)到電子郵件地址，或者只是通過(guò)傳真機(jī)發(fā)送數(shù)據(jù)。最好地防范措施是進(jìn)行適當(dāng)?shù)那鍐?、鎖定默認(rèn)接口，并確保傳真機(jī)不會(huì)暴露在互聯(lián)網(wǎng)上。對(duì)于不得不用傳真機(jī)傳遞關(guān)鍵信息的情況，也應(yīng)該通過(guò)專(zhuān)用線路進(jìn)行操作。

由于多功能設(shè)備的加速發(fā)展，眾多企業(yè)已經(jīng)逐漸選擇淘汰傳真設(shè)備。對(duì)于選擇淘汰這些老舊傳真機(jī)的企業(yè)而言，最重要的就是要擦拭掉這些傳真機(jī)的內(nèi)存，并確保他們的處理供應(yīng)商提供適當(dāng)?shù)匿N(xiāo)毀文件。而對(duì)于那些仍然依賴(lài)傳真機(jī)的醫(yī)療保健等行業(yè)而言，請(qǐng)務(wù)必更改設(shè)備的默認(rèn)密碼，并禁用所有遠(yuǎn)程管理功能。

3.會(huì)議室的視頻系統(tǒng)

安全專(zhuān)家強(qiáng)調(diào)稱(chēng)，視頻會(huì)議系統(tǒng)也不應(yīng)該暴露于公共互聯(lián)網(wǎng)上。公司應(yīng)該明確規(guī)定誰(shuí)可以使用這些系統(tǒng)的具體訪問(wèn)權(quán)限，并根據(jù)需要打開(kāi)連接，而不是將其全天候開(kāi)放。一名研究人員還舉例稱(chēng)，他曾接觸到一家企業(yè)，其Polycom視頻會(huì)議系統(tǒng)總是受到攻擊，在后續(xù)檢查期間他發(fā)現(xiàn)，起因竟是該公司并未更改默認(rèn)密碼。所以，安全專(zhuān)業(yè)人員必須認(rèn)真落實(shí)這些基本的管理任務(wù)，因?yàn)楹翢o(wú)疑問(wèn)，黑客完全有能力通過(guò)視頻會(huì)議系統(tǒng)遠(yuǎn)程監(jiān)視您的對(duì)話和公司會(huì)議。

4.收發(fā)室系統(tǒng)

首先要意識(shí)到，將快遞運(yùn)送和信件發(fā)往收發(fā)室的很大可能是不受信任或未經(jīng)請(qǐng)求的代理商，這類(lèi)人永遠(yuǎn)不能訪問(wèn)安全區(qū)域，如果可能，他們應(yīng)該與公司環(huán)境之外的收發(fā)室進(jìn)行交互。公司必須讓收發(fā)室工作人員熟悉并能夠識(shí)別常規(guī)的FedEx和UPS等快遞標(biāo)識(shí)。

此外，公司還需要對(duì)員工進(jìn)行培訓(xùn)，告訴他們只需通過(guò)一個(gè)小小的拇指驅(qū)動(dòng)器（無(wú)論是無(wú)意中撿到或是從未知來(lái)源的郵件中收到）就可以成功感染企業(yè)網(wǎng)絡(luò)，因此，無(wú)論何時(shí)，不可輕易信任來(lái)自收發(fā)室的信件內(nèi)容或?qū)⑵渲械臇|西用于公司網(wǎng)絡(luò)中。

5.供熱通風(fēng)和空調(diào)（HVAC）系統(tǒng)

不知大家是否還記得發(fā)生在2013年的Target數(shù)據(jù)泄漏事件？因其影響范圍之廣（超過(guò)1億用戶的信用卡、卡號(hào)、戶主、地址、郵件地址以及電話皆被曝光）、損失之嚴(yán)重（被偷信用卡估計(jì)價(jià)值4億美元）而成為信息安全領(lǐng)域中無(wú)法磨滅的一段歷史。而這起事件最初的入侵點(diǎn)就是一個(gè)為攻擊者所入侵的第三方HVAC系統(tǒng)。

公司必須首先讓HVAC系統(tǒng)在自己的網(wǎng)絡(luò)段上運(yùn)行，然后再進(jìn)行適當(dāng)?shù)目刂坪捅O(jiān)控。如今HVAC系統(tǒng)中的物聯(lián)網(wǎng)傳感器通常都是由一些IT經(jīng)驗(yàn)有限的人員部署完成———他們?cè)诓渴疬@些物聯(lián)網(wǎng)設(shè)備和傳感器之前通常不會(huì)對(duì)其進(jìn)行徹底測(cè)試，且使用默認(rèn)出廠密碼對(duì)其進(jìn)行安裝，并且很少了解如何維護(hù)軟件更新或加固系統(tǒng)。更令人擔(dān)憂的現(xiàn)實(shí)是，由于物聯(lián)網(wǎng)發(fā)展過(guò)于迅猛，導(dǎo)致物聯(lián)網(wǎng)市場(chǎng)中的許多公司都是曇花一現(xiàn)般的存在繼而消亡，很多企業(yè)維持不到2～3年，更不用提持續(xù)的軟件更新和技術(shù)支持了。

6.接待區(qū)

無(wú)論是VOIP網(wǎng)絡(luò)電話、接待區(qū)信息亭、數(shù)字電視顯示器，還是與訪客建立虛擬連接的虛擬接待員，公司接待區(qū)也應(yīng)該在他們自己的網(wǎng)段上運(yùn)行。

安全專(zhuān)家建議稱(chēng)，接待區(qū)網(wǎng)段應(yīng)該與企業(yè)網(wǎng)絡(luò)隔離，并加強(qiáng)抵御物理攻擊。具體措施包括鎖定USB端口或以太網(wǎng)插孔，如果有觸屏，請(qǐng)使用唯一密碼進(jìn)行配置，并禁用所有管理功能。

7.安全攝像頭和門(mén)禁系統(tǒng)

企業(yè)還應(yīng)該劃分安全攝像頭和門(mén)禁系統(tǒng)。這些系統(tǒng)需要縱深防御，因?yàn)楣拘枰蕾?lài)它們來(lái)控制對(duì)敏感區(qū)域的訪問(wèn)。而近年來(lái)，針對(duì)安全攝像頭和門(mén)禁系統(tǒng)的攻擊事件頻發(fā)，讓人們意識(shí)到黑客想要“破門(mén)而入”，訪問(wèn)企業(yè)網(wǎng)絡(luò)是多么容易的一件事。

如今，越來(lái)越多的企業(yè)開(kāi)始重視物理安全問(wèn)題，因?yàn)樗鼤?huì)影響企業(yè)整體的網(wǎng)絡(luò)安全。為此，安全專(zhuān)家建議稱(chēng)，企業(yè)必須將門(mén)禁和攝像系統(tǒng)與其他IT系統(tǒng)同等看待———及時(shí)保持更新，將其劃分到自己的網(wǎng)段中，并實(shí)時(shí)監(jiān)控日志以檢測(cè)攻擊行為。