随着互联网技术的发展,网络也逐步在与生活进行绑定。可以说,我们拥有了另外一种存在意识,或者说生存空间,即为网络空间。在这个时候,也不禁想到网络上流传的一句话,当我们不在人世了,我们的QQ、微信以及微博等社交账号怎么办?这也呈现了网络空间也已逐渐作为一个独立的环境而存在生态圈中了。
在网络空间的生活状态,是由不同的平台或者不同的网站组成的。那么在这空间里面,我们的登录口令也就成了证明我们身份的凭证。那么说到这里,我们可以尝试统计下,自身究竟在多少个网站或者平台上存在登录凭证。想来这个问题也是不好回答,因为很多时候,除了和工作生活相关的网站或者平台,很多的网站或者平台仅仅只是注册后,就会搁置一边,不再使用,但其中使用的账户密码涉及的数量就是太多,很多时候我们都记不住。
一般来说,现在我们很多时候可以通过浏览器来存储网站的登录凭证,但这种方法对于跨平台登录(如在手机应用中登录等)或者部分应用平台仍然无法起到比较好的作用。
而对于企业来说,各类应用以及主机系统的安全管理问题往往映射为账号密码的安全管理问题。而基于数量繁多的账户密码,的确也不方便记忆。而正是在日常运维过程中,对账号密码的不当管理或者说是较为低下的安全意识,才容易造成企业的安全事件,给企业的形象以及营收带来极大的影响,我们也将在下文中来反映这些问题。
近期,来自以色列安全公司CyberArk发布了一份全球调研报告,该报告的调研对象为在全球各类企业任职的750个IT工程师。
据统计,约有79%的工程师反映,在过去两年中,所在企业曾经因为安全问题吃过亏,并在不断改进其安全防御体系以及管理体系。而约17%的受访者表示,所在企业在过去两年中发生过安全问题,导致企业有所损失,但并无任何改进措施。而仅仅只有约4%的工程师表示,在过去的两年里并无发生任何安全事件。
图1-来自cyberark 调研报告
五分之二的企业将word/excel等文件作为密码的存储载体
由前文可知,目前企业面临的安全风险也超乎我们想象。而有些风险,往往来自于人为,也就是人员的安全意识较低造成的,当然,这其中也存在着安全性与便捷性的权衡问题。
在很多情况下,有些人员可能在一个记事本或者Word/Excel文件中将公司内部一些设备或者应用系统的账号密码写下来,以防忘记。而这些账号密码,不乏系统管理员或者其他的特权账号(所谓特权账号,即为具备一定敏感操作的权限,如可执行删除、新增、下载或者上传等操作)。而任意一个能接触到这些文件的人员,都能轻而易举地将这些登录口令拿到手。
调研的结果再一次验证了,在全球范围内,企业内部的脆弱性无处不在,而改进密码的管理更是迫在眉睫。
该研究报告指出,有接近40%的机构,运维人员会将特权账户或者管理员账户以及密码,写在标签纸等文件上,并将之贴于PC电脑或者笔记本上。而有28%的受访者表示,会将登陆口令放置于共享的服务器或者U 盘中。
图2-来自cyberark 调研报告
还有20%的受访者表示,其企业中并无数字存储账号密码的习惯,都是将这些敏感信息存放于纸张中或者锁存于文件柜中。而在往下呈现的情况,我们是否在日常工作中,经常看过?
图3-来自于news.softpedia.com
还有如下,记录在EXCEL表格中
图4-来自于news.softpedia.com
敏感文件的加密对于企业来说至关重要
如上图所呈现的一样,将账户密码贴于电脑旁的物理存储密码的方式,会完全将企业颞部系统基本登录信息暴露出来,这对企业的影响极大。上述图片来自于,去年年底的调研情况,被发现于荷兰移动运营商内部大量的PC上,而被安全研究人员 Sijmen Ruwhof发布出来。
据悉,在调研的过程中,部分受访者表示,很多时候会将密码保存在一个 all-my-admin-passwords.txt的TXT文件中,并将之放至在桌面上,而此举看起来风险性极大,但如果将该文件进行加密,从访问的权限进行限制,那么该文件的安全防护能力将会大大提升。
再者,一些恶意软件,如远程访问木马,往往会对企业内部网络中存在的漏洞的计算机进行全量扫描,企图发现其中的一些敏感办公文件,而作为存放着应用或者设备账户以及密码的文件,这无异于“授人以柄”。
密码的不安全存储,往往可以被攻击者所利用,使其更加快速地对内网节点进行渗透,由于安全习惯以及安全意识的作用,这种不安全的存储方式也成为了企业内网的极大威胁之一。
关于密码管理的几点建议
1、从前文来看,对于电脑中的敏感文件(如存储账号密码文件或者财务报表等文件)的保护,则需要加强提高。除了部分企业安全预算较为充裕,或者考虑对内部文件进行统一加密处理,可考虑相关的文档加密解决方案。
而对于无此方面打算的企业,建议可针对电脑中存储账号密码的文件进行简单的加密,提高其安全性。具体可参照如下(图片为参考百度百科),
如此,简单的密码设置便可完成,从而提高了非法人员访问或者破解敏感文件的成本。
2、如果企业关于安全预算足够的话,建议部署特权账号管理系统或者堡垒机等企业级账号管理解决方案,将重要应用系统或者设备收纳进管理系统中,系统管理员则再无需再记住数量繁多的账号密码,可将账号密码托管到账号管理系统上,同时亦可以通过账号管理系统进行密码自动更换,更好地确保应用系统的安全性;
3、若是预算不足,需要通过人工对密码进行管理。则建议定期更改各应用及系统密码(参考国内外各类标准,一般90天更换一次),密码的设置则需要保证一定的强度,其中需要包含数字、大小写字母以及符号。
4、密码的存储需要进行一定的处置,对其访问权限进行控制(如前文的密码设定或者通过文档加密等方法),防止其他员工或者非内部人员可通过访问到相关的账户密码,从而渗透进入企业内部网络中。
5、建议在应用开发过程中,勿将相关测试账号或者其他特权账号嵌入到代码中,确保应用系统对外窗口的安全性。
参考来源:
[1]
http://news.softpedia.com/news/two-in-five-sysadmins-are-crazy-store-admin-passwords-in-word-files-508628.shtml#ixzz4MktKxnBJ
(作者为:Catalin Cimpanu
)
[2]
http://www.cyberark.com/resource/2016-global-advanced-threat-landscape-survey/
(作者为安全公司cyberark)
回复关键字,看最经典的黑客传奇
回复010:原创 | 智者大潘
回复011:原创 | 360谭晓生的方法论
回复012:原创 | 龚蔚:我不是黑客教父
回复013:原创 | Ucloud之父季昕华
回复014:原创 | “苹果”是我干掉的,韩争光
回复015:原创 | 云舒,我为什么要离开阿里
回复016:原创 | TK,从妇科圣手到黑客教主
回复017:原创 | 乌云来了,我是方小顿
回复018:原创 | 破解了特斯拉的林伟
