鲨鱼'的网络安全故事

我们的Sharky的“领航员”向他发送了许多有关网络安全的故事,以便将其发布到 鲨鱼坦克。这是一个样本:

但是完全访问网络?我能做的

刚在这家大型制造公司雇用了现场支持试验鱼,他要做的第一件事是去现场办公室获取ID徽章和公司的电子邮件软件。

因此,他开车去了最近的现场办公室,走进去,并告诉接待员他需要领取电子邮件软件和身份证。

“你是雇员吗?”她问。

“是的,”鱼说。

接待员说:“哦,那么,您需要见我们的安全人员。”

安全出现,自我介绍,然后问:“您是员工吗?”

“是的,”鱼说。

安全性说:“好吧,请进来,我会带您在活动数据端口附近建立可用的办公桌来下载电子邮件客户端。” “您的笔记本电脑上有令牌环卡吗?”

鱼说:“不,我只有以太网。”

安全迅速地生产了必要的卡和电缆,然后在公司内部网络上对鱼进行了一个多小时的监督。

当他最终返回时,菲什询问是否要获得身份证。

“您是否有您的经理发出的授权表格以得到徽章?”安全问。

鱼说:“不,我不。”

保安说:“好吧,我只是不能给任何走在街上自称是雇员的人提供身份证徽章!”

最高机密

公司委托进行IT安全审核,并从外部安全机构获取漏洞列表。 “这是任何想要破解我们系统的人的虚拟路线图,”试验鱼说。 “我的老板希望将其提供给高层管理人员-因此他将整个报告发布在网络驱动器上,该组织的所有1,500名员工均可使用。”

w,您以为我们不是真的吗,迪贾?

“安全是第一位。”这就是这位飞行员鱼和他的团队获得的任务,他们认真对待。菲什说:“如果首席执行官的要求使系统安全受到威胁,我们甚至有权拒绝首席执行官。”

因此,Fish的团队开始着手实施一些非常昂贵的虚拟专用网(VPN)。完成后,他们会召集安全专家来审核新系统-并对此表示赞许。

这些系统是电子诺克斯堡。

Fish说:“然后,管理层从完全不安全的网络购买了需要VPN的服务。” “而且它直接连接到我们的网络中。

“结果?”抱怨鱼。 “整个世界现在拥有一个难以置信的安全通道,可用于漫游整个公司网络。”

不要问,不要告诉

星期六下午,当用户打电话要求解锁其网络帐户时,这个帮助台试点工作特别忙。

当鱼解决了问题时,用户尝试解释它是如何发生的。忙碌的鱼不想听到长篇大论,因此他打扰告诉用户:“没关系,您现在被解锁了。”

但是用户坚持要解释。

似乎他需要从PC收到个人电子邮件,但又不想进入工作位置来检索它。因此,他为同事提供了他的网络密码,这样他就可以访问电子邮件并将其转发到用户的家庭帐户。

用户说,不幸的是,他的朋友搞砸了并锁定了帐户。

他的朋友不是唯一一个弄乱鱼,吟的人。 “现在,除了完成我的其余工作外,我还必须填写事件报告,找出用户的主管和董事是谁,然后重新锁定用户的帐户-这样他仍然无法进入帐户- -直到可以指导他进行安全程序和将公司资源用于个人用途为止。”

鱼叹了口气:“有些人永远不会学到什么时候闭嘴。”

There'没有什么比安全

这位新的热门安全管理器遍历了该公司网络上的所有内容,并对其进行了严格锁定,使要处理新锁和钥匙的领航员抱怨不已。

Fish说:“纯文本密码在LAN上是非法的,因此我们在所有网络硬件上都部署了安全外壳(SSH)。” “我们在每个网络设备信任的每个站点上都设置了一个跳接节点。我们删除了除通过VPN之外的所有网络拨号访问。我们将密码设置为神秘字符串。

“当一切完成后,没有人会记得如何登录路由器,交换机,防火墙和SSH网关,它们都有不同的多步访问过程。员工开始随身携带带有密码的书面备忘单。”

更糟糕的是,所有新的安全性都意味着当某件事发生故障并且应召集的网络管理员想要远程修复它时,必须运行许多应用程序,协议和服务才能进行连接并解决问题。

Fish说:“从定义上讲,当他需要远程访问时,东西变得残破了,从本质上保证了他必须开车进入。”

因此,Fish撰写了一份详细说明问题的报告。管理层(勉强地)承认这是一个问题,并将其交给安全专家进行修复。

Fish说:“安全专家购买了配备调制解调器的终端服务器,并将串行端口连接到每个活动的网络设备。”

“现在,万一发生故障,非现场技术人员可以启动与终端服务器的本地拨号会话,并直接连接到我们所有基础架构的控制台端口。”

换句话说,现在有一整套后门可以有效地抵消所有新的安全措施。

菲什说:“如今,与坐在战场外的调制解调器人员相比,我们的网络受到更好的保护,免受坐在办公桌前的IS员工的伤害。”

“好处是,内部技术人员现在可以拨打终端服务器,而无需携带备忘单。”

现在就是安全性!

因此,这条先导鱼游到了一个航空航天防务承包商现场,进行了一些咨询。

在准予入场之前,安全措施将他置于显微镜下-发誓将他保密,使他签署多项保密协议,仅在进行体腔搜索时就停止。

任务中期,顾问必须安装新软件,并且需要在服务器上具有root用户访问权限。他给系统管理员打了个电话,让他​​们可以登录。

“我必须打断一些重要的事情,因为他弯曲了身体,然后说:'看,您所需要的就在那里!'”飞行员鱼说道。

果然,就在这里,固定在小隔间墙上是所有56个系统密码(包括root)的打印输出。与一点便利相比,什么是国家安全?

安全?谁需要安全性?

网络管理员试验鱼正在为新的销售部门应用程序设置服务器。他说:“老板,我需要一个小的带锁的房间,以防止他人擅自访问服务器控制台。”

废话,嘲笑老板。 “新服务器是销售部门的工具,将其放置在其他销售PC所在的区域。

他补充说:“此外,没有空间为服务器预留空间。”

菲什坚持说:“由于这将是整个公司的文件和打印服务器,因此它实际上应该在安全的区域内。” “让我把服务器放在办公室怎么样?”

“不,”老板重申。 “销售服务器与其他销售PC一起位于“计算机角落”。”

因此,fish可以启动并运行新服务器,将用户转移到新系统上,从而摆脱最大的转换和培训速度障碍。

该系统可以正常运行几个星期-直到他一天有午餐的时候,鱼从一位销售人员那里惊慌失措。销售人员说:“我被系统抛弃了,无法打印。” “我需要打印我的建议!”

Fish赶回“计算机角落”,以找到销售经理在服务器控制台上玩射击游戏。

你在做什么?问惊恐的鱼。

“没有人使用过这台计算机,”耸耸肩的经理说。 “所以我重新安装了DOS并加载了这个非常整洁的游戏……”

热门

新雇用的IT飞行员Fish对他公司的网站没有防火墙感到震惊。他使用易于使用的扫描工具向高管演示该漏洞,他们对这种需求印象深刻:他们说,安装防火墙,然后Fish使其快速运行。但是第二天早上,他接到一个概念不清楚的营销副总裁的电话:“您能检查一下防火墙吗?我认为它过热了。我的房间异常温暖。”

噢,拜托,一封电子邮件可能有多糟糕?

这家大型运输公司的网络安全经理声称,他可以在自己的网络中发现任何安全漏洞,据一位在那儿工作的小鱼报告。

菲什说:“当然,整个安全商店实际上都是由一些知道事情如何运作的技术人员经营的。”

因此,在这个决定性的星期五下午,安全经理收到了一个客户的电话,该客户声称自己有一个很小的电子邮件炸弹,可以炸毁整个公司的电子邮件系统。

“没有这样的事情,”安全经理决定,并告诉客户向他发送所谓的电子邮件炸弹-BY E-MAIL。

一位偷听对话的技术人员向老板猛烈抨击-但是他在浪费自己的呼吸。因此,他将其击败了其他安全技术,并促使他们加快了即将到来的过程。

菲什说:“他们都认为这是开始周末回家的最佳时机。”

因此,客户发送电子邮件。当它撞击该公司的中央病毒扫描程序时,确实确实使扫描程序崩溃了,并破坏了整个电子邮件系统。

和安全经理? Fish说:“他甚至没有注意到他的整个电子邮件系统都崩溃了。” “过了一会儿,他也回家了–整个周末都没有电子邮件发送这家24/7公司。”

特别报道

增强安全性

本报告中的故事:

有关:

版权© 2004 IDG通讯,Inc.

  
在亚马逊上购买技术产品