<
>

通过单个IT安全建议解决古老的问题

通过   莫雷·J·哈伯 ,  首席技术官& CISO at BeyondTrust

在网络世界中,我们面临着大量的建议和提高IT安全性的榜单。这些建议的出现是由于现代威胁的出现,新闻中的违规行为或传达了各种危险攻击媒介的详细分析。尽管此类文章和博客在帮助教育IT社区和非IT工作者方面都起着至关重要的作用,但这些帖子通常关注范围很窄。它们可能具有某些通用特性,但很少与每个人,任何地方和任何时间的采用无关。这是本文介绍的步骤。

您能猜出每个人都能接受的第一,通用和最佳安全建议吗?我会给您一个提示,它与密码有关。

为了进一步为该建议奠定基础,让我们考虑一下我们每天遇到的所有信息安全建议。其中包括从安全技能和网络意识培训到补丁管理的所有内容。它们针对从网络钓鱼到漏洞管理的问题,但不一定与组织中的每个员工都相关,也不一定与每个人在家中的个人设备上都相关。例如,默认的Windows 10设备或MacOS Mojave设备将自动修补安全漏洞并在必要时重新启动,从而使该问题对于普通用户不为所知。此外,网络安全培训的建议通常是针对特定类型的组织量身定制的,由于存在许多变量,因此不一定适用于不同行业。

虽然避免电子邮件垃圾邮件是众所周知的知识,并且经常对员工进行如何识别可疑电子邮件的培训,并建议他们不要单击可疑链接,但有趣的是,年轻一代接受企业电子邮件之外的可能性要小得多。即时消息传递和其他形式的社交媒体是它们的选择工具,这表明传统电子邮件可能会像邮政信件或传真机一样逐渐消失。电子邮件的消亡可能需要几十年的时间才能实现,但是这种降级工作正在进行中。

所有这些都有助于进一步完善我们的最佳建议。请记住,我们需要考虑适用于所有人的通用安全建议。
解决古老的安全问题

无论在家中还是在工作中,每个人使用的一件事就是密码。我们将密码用于工作,互联网上的资源,社交媒体和我们的应用程序。我们将它们以密码和PIN的形式用于银行,移动设备以及办公室和家庭报警系统。密码无处不在,我们一直在使用它们,即使在具有讽刺意味的声称“无密码”的新系统上也是如此。在这些情况下,后台机制仍然可以识别您的访问权限并“以某种方式”存储该访问权限。

密码至少可以追溯到罗马军事时代。密码曾经被刻在木头上,并由士兵通过值班的现役警卫传递。从本质上讲,密码是一种共享资源-我们(应该)承认这是一种责任,因为多个人在任何给定时间都会知道密码。

如今,任何密码的最常见存储都在一个人的大脑中。我们为系统或应用程序分配密码,在需要使用密码时对其进行调用,并希望每次更改密码时都记住它。我们的大脑充满了密码,通常我们会忘记它们,重复使用它们,需要共享它们,并被迫将它们记录在便条纸,电子表格中,甚至通过电子邮件或SMS短信进行通信(这是非常糟糕的。安全实践!)。

这些用于创建,共享和重用密码的不安全方法可导致通常会在头版新闻中引起数据泄露的类型,这是在未遵循良好的密码管理策略的情况下发生高风险的警示故事。这些分歧贯穿我们的职业和个人生活。

密码无处不在,我们至少需要一个基本租户来帮助解决一千年的历史。因此,对每个人来说最重要的安全建议是:
确保您使用的每个密码都是唯一的,并且在任何其他时间都不会与任何其他资源(包括人员)共享。

尽管我们认识到,对于大多数人来说,记住一个已经相当庞大且不断扩大的密码列表(对于现代公司用户而言,平均为120个)是不可能的,但是有一些密码管理工具,解决方案和技术可以实现这一点,从而大大减少了与密码相关的威胁。

现代操作系统,浏览器和应用程序可以帮助为每种资源创建唯一的密码,并安全地存储它们以供取回,以代替人类必须记住的每个密码。密码基本上存储在只有个人知道的一个唯一的“主”密码(也可以称为“密钥”或“秘密”)的后面。尽管这对家庭和小型企业用户是一个很好的解决方案(在一定程度上),但是它不能扩展到大多数需要共享帐户(由于技术限制)并自动生成唯一密码(例如跟上员工变更)的企业。或符合法规遵从性准则。

要注意的另一种最佳安全最佳实践-仅密码永远不应是对关键数据,敏感系统以及对这些资源的潜在日常操作的唯一身份验证机制。多因素身份验证(MFA)或两因素身份验证(2FA)应该放在最上面,以确保在需要身份验证时,每个帐户的唯一密码实际上被正确的身份使用。

此通用安全建议的一个主要优点是,它可以确保如果密码被盗,泄漏或使用不当,则只能将其用于分配的相应资源(如果不存在MFA或2FA)。如果密码是唯一的,则威胁参与者不能使用一个受到破坏的帐户和密码来攻击其他资源。攻击者的选择和动作受到很大限制,尽管他们可以尝试利用高级技术从受到破坏的系统中窃取其他凭据,例如从内存中窃取密码。在这种情况下,不仅生成唯一的密码,而且经常旋转密码都将有助于缓解攻击。

整个组织的整个信息和安全基础架构中的特权密码管理解决方案都可以提供帮助。先进的工具为几乎所有启用IP的设备提供了敏感帐户和密码的自动管理(包括SSH密钥管理),例如共享管理帐户,应用程序帐户,本地管理帐户和服务帐户。这有助于确保可以在任何组织中实施此顶级安全建议,以加强企业密码的安全性。
 

分享我们的想法

0 Comment 登录 要么 寄存器 发表评论