3小时前来源:安全牛网
黑客们相信只要攻击者信心坚定,没有什么密码是搞不到手的。然而,他们也承认五种关键的安全措施能将渗透进企业网络的难度增加许多。
不管头衔是白帽子、黑帽子,还是游走在中间的某种状态,大多数黑客都会同意没有攻不破的密码,或者是密码管理措施。不管他们的态度如何,是否尊重法律,黑客们基本同意,有五种安全措施能够让渗透进企业网络的难度增加许多。
本月早些时候在美国召开的Black Hat 2016大会上,关键账户管理解决方案提供商Thycotic调查了超过250位自称为黑客的参会者(匿名参与)。48%的受访者认为自己是白帽子――帮助机构来发现并处理漏洞的安全研究人员。15%的受访者则是黑帽子,他们带着恶意的目的来渗透网络。
CISSP、Thycotic公司全球联盟部门负责人Joseph Carson说:“今年我们收到了很人的口头请求,要求增加灰帽子选项。但目前灰帽子还不属于调查的范围。”
灰帽子处在中间地带。他们向政府机构、执法机构、情报机构和军方披露、或者销售自己发现的零日漏洞。从结果上来看,受访黑客们列出了如下五个安全措施。黑帽子们对于这五项技术的排序有一定的争议。
1. 将管理员权限限制到系统
其一,任何严肃的网络保护措施都应该从特权账户入手。特权账户是“王国的钥匙”,这也让它们成为了寻求访问权限,以在网络中随意走动的攻击者的顶级目标。
Thycotic公司在其发布的《Black Hat 2016:黑客调查报告》中称:“首先,攻击者通过一切可能的方式获得一个前哨站,这通常是通过入侵终端用户计算机做到的。然后,他们尝试通过入侵特权账户来提权,这让攻击者能够像受信任的IT管理员一样对网络进行操作。”
要进行响应,机构应当至少部署一项特权策略, 防止在请求并通过之后直接给予特权,降低攻击者通过针对特权账户密码或哈希来侵入整个网络的可能性。
Thycotic在报告中说:“通过确保终端用户按照标准用户档案配置,并在需要运行合法、可信应用时临时提权,可以在终端用户工作站上部署最小特权策略。对IT管理员的特权账户,控制账号拥有的特权并且对windows和UNIX系统部署超级用户特权管理 (Super User Priviledge Management) ,能够防止攻击者运行恶意应用、远程访问工具和控制台。”
此外,IT管理员应当只在有必要时使用特权账户。当没有必要使用特权时,应当使用普通账户。
2. 保护特权账户密码
说到特权账户,很容易陷入将它们和人类用户联系起来的误区。实际上,特权账户也会延伸到那些供用户操作的机器和系统。
机构拥有特权账户的数量通常是其员工数量的两到三倍。Carson指出,所有部署的系统都会自带一个默认账户,此外,所有连接到服务账号的管理系统也都会有一个账户。所有部署的虚拟机都会有特权,而且该特权在虚拟机关机之后仍会存在。如果虚拟机被克隆,这些特权也会随之被克隆。因此,机构通常会被大量流氓特权账号塞满,它们均能够访问整个环境。
Thycotic在报告中写道:“因此,劫持特权账户能够帮助攻击者访问并下载机构的敏感数据,毒化数据,大量散播恶意软件,绕过现存安全措施并抹除审计痕迹,隐藏活动。 主动式管理、监控、控制特权账户访问十分关键。这些账户对于当今的IT架构是必要的,确保它们被安全地管理事关重大。”
更糟的是,机构仍旧经常依赖于表格文档等收到那个系统来管理特权账户密码。这已经不只是低效了。Carson指出,此类管理系统本身就很容易遭到入侵,给整个企业带来显著的安全风险。
Thycotic写道:“特权账户密码保护能够为自动发现并存储特权账户、定期更换密码、审计、分析、管理各个特权线程活动、 监控密码账户来快速发现并响应恶意活动提供综合性解决方案。这为在网络内部保护特权账户带来了一个全新的 安全层级。”
3. 拓展IT安全意识训练
大多数安全专家认为人类才是机构安全中最弱的一环。
“随着过去过去几年中涌现出更多复杂的社会工程和钓鱼攻击,企业应当严肃地思考拓展IT安全意识培训项目这件事了,而不是仅仅停留在执行简单的在线测试、告知安全策略等手段上。特别是在移动设备日渐应用到商业场景的时代里,教育员工什么才是安全的行为变得势在必行。”
从历史上来看,安全意识训练的结果可能彼此之间大相径庭。Steve Durbin是Information Security Forum的总经理,他则表示,那些能够在商业活动中增加正面的信息安全操作的训练项目能够将员工从最薄弱的一环变成防御的第一线。
Durbin说:“过程本身可能就是问题。有可能你的系统或过程太复杂、太繁重,而实际上并不必须如此。这样问你自己:如果我们从头开始,如何在过程中增加安全措施,让人们更容易遵从?”
不过需要注意的是,相比黑帽子,白帽子黑客更加信奉安全意识。
“有趣的是,黑帽子和白帽子黑客对全部五个安全措施的排名几乎是相同的,除了黑帽子不相信IT安全意识训练有那么重要。总的来看,黑帽子给出的名单中,IT安全意识训练排在第四位。他们将预防未知应用运行拍在了更高的位置。这有可能是因为黑帽子黑客认为人类是不可预测的,相比于能够限制风险操作的技术解决方案,他们更像是较弱的环节。”
4. 限制未知应用
如果你不知道一个东西存在,就无法保护它。你需要弄清网络上运行的应用中究竟哪些是合法的,并确保它们的密码得到了妥善保管。
Thycotic写道:“应用账户需要被细心存储。应当使用严格的策略进行检查,确保密码强度、账户访问权限和密码替换周期。报告这些账户并且执行中心化的管控对于保护关键信息资产而言至关重要。”
5. 利用安全最佳实践保护用户密码
归根结底,这些措施并不都与特权账户有关。尽管特权账户能够为攻击者提供访问关键数据的权限,终端用户账户仍旧是攻击向量之一。这就是说,77%的受访者并不认为所有密码都能避免黑客入侵。
Carson说:“保护用户密码排在了最后。有些人可能会说这对企业而言是好消息,因为改变人类行为很难:只让IT团队行动起来比动员全公司员工要简单多了。不过,如果你想要保护终端用户密码,应当寻找哪些能够针对密码强度、密码更换周期提供措施,并能提供简单安全的密码重置策略的安全解决方案。它们应当定期要求员工更改工作站密码,当然,这毫无疑问地代表着,员工忘记新密码之后,技术支持团队接电话会很忙。”
