针对关键基础设施及业务系统,“弱口令”安全治理刻不容缓 – 作者:宁盾nington

习主席在全国网络安全和信息化工作会议上更是着重指出“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”网络安全已成为国家发展、社会稳定、经济民生、国家安全的重要支撑能力。

当前国家也在做数字化转型,新基建、人工智能、云计算、大数据、物联网、移动化等新技术不断涌现,资产从传统物理资产向数字资产转变。

互联网时代,随着人类生活水平的提升,随之而来的安全问题,也以全新的面貌出现在我们面前。个人信息泄露、商业机密泄漏、国家重要信息遭到攻击等各类网络安全事件层出不穷。

弱口令引发的网络安全事件占70%以上,且态势日益加剧

账号口令被认为是网络安全的第一道防线,尽管身份认证技术在不断演进,但企业的账号口令不会消失。同时发现在众多攻击手段中,利用弱口令攻击的占比高达70%。根据2019年的专项调研数据,100%的组织都存在不同程度的弱口令,单个系统的弱口令数量在10~20个,意味着无论我们在安全防护上投入了多大的人力物力,攻击者都可能通过弱口令进行攻击。

v2-f26e261bc8de485b6441dc2ce9e2f408_1440w.jpg

2017年,某企业邮件服务器被攻击致敏感客户数据泄露,黑客通过一个“管理员账户”破坏了该企业全球邮件服务器,从理论上讲,黑客因此被授予特权而能无限制地“访问整个邮件系统”,该管理账户只需要一个密码,且无需二次验证。

v2-5a0d60ea88fd47982ff65e9b8902e486_1440w.jpg

2020年7月,国内多家安全厂商检测数万台MSSQL服务器遭爆破入侵,已沦为门罗币矿机,该挖矿木马主要针对MSSQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。

针对弱口令认证的攻击面正在扩大:持续泄漏的账号口令导致暗网密码库愈加庞大;越来越开放的网络环境降低了边界防护的防御能力,疫情催生远程移动办公渐成常态,以及大量IoT设备的极速涌入,无不加剧互联互通的网络中用户及终端身份安全的管理难度。

因此从业务角度来看,如何体系化解决弱口令及身份安全问题,势在必行。

国家法律法规针对特殊场景弱口令有明确治理要求

如《密码法》、《网络安全法》《等保2.0》都对弱口令治理有明确要求,其中在《网络安全等级保护基本要求》中,要求三级等保以上机构,采用多重验证有明确要求,具体如下:

BG/T 22239-2019《信息安全技术 网络安全等级保护基本要求》关于“第三/四级安全要求 身份鉴别”要求:应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;

GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价方法》关于“身份标识与鉴别”要求:应授权管理员选择两种或两种以上组合的鉴别技术进行身份鉴别;

GB/T 20272-2019《信息安全技术 操作系统安全技术要求》关于“用户鉴别功能”要求:采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制,并在每次用户登录系统时和系统重新连接时进行鉴别;

GB/T 37950-2019《信息安全技术 桌面云安全技术要求》关于“身份鉴别 增强要求”要求桌面云:应支持第三方身份鉴别方案。

弱口令的攻击对象

#远程办公

尤其针对VPN、虚拟化桌面等场景,数字证书无法使用,静态口令设置为极为简单的纯数字或者纯字母的组合,这种弱口令存在极大的安全风险,未来远程也将变成趋势。

#关键基础设施

包括数据中心、云、接入网中存在网络设备(交换机、路由器)、安全设备、服务器、VPN、运维堡垒机、中间件、数据库等存在大量弱口令问题,一旦破解,容易造成网络瘫痪以及系统遭受攻击。

#系统关键用户

各业务系统的管理账号往往在所属的业务部门,此类用户拥有较大权限,往往涉及敏感数据(如 GIS 数据、财务数据等)。作为各类基础网络及应用系统运维人员,掌握着最基础的网络配置及应用系统设置功能,有部分运维专业人员的工作账户口令却设置得非常薄弱。

解决弱口令问题的一些建议

01
通过工具简化定期修改口令

政府、企事业单位通常会有规章制度来约定定期修改口令,但是很难执行,一方面容易忘记,另一方面修改的方法比较困难,如果通过工具让用户自助修改且不担心忘记,才会加强口令安全管理。

02
重点场景,采用多因子认证机制

针对关键基础设施、移动办公等重要场景,采用多重验证技术取代简单口令认证场景,尤其是网络设备(交换机、路由器)、网络安全设备、关键服务器、VPN、VDI场景。

在业务场景积极采用移动身份认证技术,如人脸识别、智能认证、扫码,取代既有账号口令认证,一方面提升安全,同时让使用人员体验更好。

03
规划统一身份管理

弱口令形成是用户在注册账户密码时随意性大,采用很简单的数字或字母组合,没有协助用户检验密码强度的工具,尤其是该功能直接取决于第三方应用,导致口令注册环节不受控制。同时运行维护人员没有利用现有的漏洞工具对用户口令进行校验,在中间件和应用系统上甚至无工具对用户口令进行校验。

缺乏整体监管,没有明确的监管单位和人员对企业系统弱口令进行长期校验和筛查。最终导致不同系统有不同账号口令,一方面增加管理复杂度,另外由于很多僵尸账号引起额外安全风险,因此规划集中身份管理、单点登录才是关键。

来源:freebuf.com 2021-07-06 11:26:30 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论