大部份公司對伺服器和電腦,都懂得提供不同程度的保護,然而在內聯網內仍然接接著不少裝置,當中包括打印機和閉路電視等等,部份面對網絡威脅更比想像中脆弱,稍一疏忽隨時引發不同程度的網絡事故。
無線存取點、路由器和防火牆
在辦公室網絡中最高風險的裝置,路由器是存取互聯網的裝置,很多時利用SSH、Telnet和SMB等容易被利用安全漏洞的公開管理埠和服務,近年攻擊者更學會攻擊管理員界面。防火牆的情況也一樣,尤其中小企當想把兩種功能結合在單一裝置上。存取點發生不安全設定的情況比路由器常見,不過要入侵就需要靠近裝置,攻擊的起始點通常是Wi-Fi訪客網絡或流動裝置的特定網絡。
打印機
雖然打印機被攻擊入侵並不常見,但發生個案通常都比較矚目,其相關的風險包括:
- 通常同時間直接連線辦公室網絡和生產商的中央伺服器,即是互聯網。
- 通常以標準設定和預設密碼運作,讓潛在攻擊者觀看、刪除和增加列印工作等行為,而無需利用任何安全漏洞。
- 通常欠缺資安工具,也時常被管理員加入到防火牆的白名單內,令公司內所有電腦都能存取。
- 罕有的軟件更新,也很少用戶會進行更新,所以安全漏洞可能存在多年。
- 打印機同時也包括標籤和收據的列印,它們通常連接到POS終端和高權限的電腦,用來處理重要的財務資訊。
- 打印機是黑客或加密勒索組織的熱門目標,列印數千張威嚇信令人「印象深刻」
VoIP裝置和IP監視鏡頭
和打印機一樣,這些裝置都很少更新,而且經常連接互聯網,沒有內建的資安工具,而且經常以預設和不安全的設定運作,除了有風險讓黑客入侵後進行橫向移動以外,獨特的風險是讓攻擊者有機會監視受害對象的財產和設施,竊聽VoIP通話或使用有關裝置進行詐騙,而錯誤設定或預設密碼令攻擊者無需使用安全漏洞就能成功攻擊。
保護公司內的脆弱裝置
- 關閉裝置上所有不必要服務,限制存取需要的項目,控制台和服務埠應該只有管理員的電腦才能存取。
- 分割辦公室、生產和管理網絡,確保IoT裝置和其他隔離的資源無法透過互聯網或內聯網所有員工存取。
- 所有管理員使用強力和唯一的密碼並盡可能配合多重登入驗證(MFA)
- 如果裝置不支援強力的登入認證或MFA,可以把它隔離到子網絡,在網絡設備層面加入MFA存取控制。
- 網絡裝置優先和迅速進行韌體及軟件更新。
- 瞭解裝置的網絡和安全設定,如果安全不足便應該更改預設設定,關閉預設帳號和密碼存取。
- 熟讀路由器手冊以改善安全性
- 瞭解打印機等設備,尋找標準功能改善安全性,部份商用型號提供加密安全列印功能,也有些可以自動更新韌體,又或者匯出事件到SIEM系統以進一步展開資安監察。
- 部署EDR或複數SIEM為基礎的網絡監察的保安系統
資料來源:Kaspersky Blog
