<
>

解决一个IT安全建议的历史悠久的问题

经过   Morey J. Haber,  CTO. & CISO at BeyondTrust

在网络世界中,我们接触到提高IT安全性的建议和顶级列表中的枚举。这些建议是由于现代威胁的出现,新闻中的违反行为,或者传达对各种危险攻击载体的详细分析。虽然这些文章和博客在帮助教育IT社区和非IT工人的情况下发挥关键部分,但这些帖子在焦点中普遍狭窄。他们可能有一些普遍的特征,但与每个人,随处和每次的每个人都不经常不常见。这是本文的步骤。

你能猜出一个人,普遍和最佳安全性建议是为了拥抱的人吗?我会给你一个提示,它与密码有关。

为了进一步设置本建议的阶段,让我们考虑我们每天经历的所有INFOSEC建议。这些包括从安全技能和网络意识培训到补丁管理的所有内容。它们针对网络钓鱼的问题到漏洞管理,但不一定与组织内的每个员工相关,也不一定与家庭个人设备上的每个人相关。例如,默认的Windows 10设备或MacOS Mojave设备将自动修补安全漏洞并在必要时重新启动,将问题与普通用户的视线无关紧要。此外,由于多种变量,通常针对网络安全培训的建议通常针对特定类型的组织量身定制,并且不一定适用于不同的垂直垂直。

虽然避免电子邮件垃圾邮件是常识,但员工经常接受了如何识别如何识别可疑的电子邮件并建议不要点击可疑的链接,这很有趣的是,年轻的几代人不太可能在公司企业以外的电子邮件中接受电子邮件。即时消息和其他形式的社交媒体是他们的首选工具,这表明传统的电子邮件可能会慢慢消失,如邮政对应,或传真机。电子邮件的消亡可能需要几十年来才能进行送货,但这种降低速度正在进行中。

所有这些都有助于进一步改进我们的单一最佳推荐。请记住,我们需要考虑转化为每个人的普遍安全建议。
修复了一个古老的安全问题

无论在家里还是在工作中,每个人都使用的一件事是密码。我们使用Works的密码,用于互联网上的资源,用于社交媒体和我们的应用程序。我们使用它们以密码和引脚的形式用于银行,移动设备和办公室和家庭报警系统。密码普遍存在,我们甚至在较新的系统上不断使用它们,这种系统讽刺声称是“密码的”。在这些实例中,引擎盖下的机制仍在识别您的访问权限并存储“某种方式”。

密码至少回到罗马军队的时代。密码曾经雕刻成木头,并通过主动卫队值班地通过士兵。从本质上讲,密码是一个共享资源 - 我们(应该)认识到这是责任,因为多个人会在任何给定时间知识。

今天,任何密码的最常见存储在一个人类大脑中。我们为系统或应用程序分配密码,在需要使用时召回它,并希望每次更改它时都会记住它。我们的大脑充满了密码,通常,我们忘记了它们,重用它们,需要分享它们,并被迫将它们记录在第一篇笔记,电子表格,甚至通过电子邮件或短信短信(非常糟糕)安全实践!)。

这些不安全的创建,共享和重用密码的方法负责,这些数据违规的类型违反了前页新闻,当不遵守良好的密码管理策略时,即在发生良好的密码管理策略时的高危发生故事。后面的分歧又是我们的专业和个人生活。

字面上可以找到密码,我们需要至少一个基本的租户来帮助解决一千岁的历史问题。因此,每个人都有最重要的安全建议是:
确保您使用的每个密码都是唯一的,而不是在任何其他时间与任何其他资源(包括人)共享。

虽然我们认识到,对于大多数人来说,纪念已经相当长的密码列表(平均为120人,用于现代企业用户的120人),但是对于大多数人来说,有密码管理工具,解决方案和技术来实现这一现实,从而扩展了减少与密码相关的威胁的长路。

现代操作系统,浏览器和应用程序可以帮助为每个资源创建唯一的密码,并将其牢固地存储它们以取代以不必记住每一个人的人。密码基本上存储在一个唯一的“主”密码后面(它也可能被称为只有个人知道的“键”或“秘密”)。虽然这是家庭和小型企业用户的好解决方案(到有限的程度),但它不会扩展到需要共享帐户的大多数企业(由于技术限制而)并自动生成唯一的密码,以便跟上员工更改或符合法规遵从性指南。

仅仅要注意的密码的另一个安全性最佳实践永远不会成为关键数据,敏感系统和可能日常业务的唯一身份验证机制。多因素身份验证(MFA)或双因素身份验证(2FA)应分层,以确保在需要身份验证时,每个帐户的唯一密码实际上被使用。

这种通用安全建议的一个关键优势是它确保如果您的密码被盗,泄露或不恰当地使用,它只能针对分配的相应资源(如果不存在MFA或2FA)。如果密码是唯一的,威胁演员不能使用一个受损的帐户和密码来攻击其他资源。攻击者的选项和移动是显着的限制性的,尽管他们可以尝试利用先进的技术来窃取他们受到损害的系统的其他凭据,例如通过从内存中刮擦密码。在这种情况下,不仅生成唯一的密码,而且还旋转密码经常会有助于减轻攻击。

在组织的整个信息和安全基础架构上的特权密码管理解决方案可以提供帮助。高级工具为敏感帐户和密码(包括SSH密钥管理)提供自动化管理,例如共享管理帐户,应用程序帐户,本地管理帐户和服务帐户,跨几乎所有启用IP的设备。这有助于确保可以在任何组织中实现此顶级安全建议,以强制执行强大的企业密码安全性。
 

分享我们你的想法

0 Comment 登录 或者 登记 to post comments