弱口令作为一个“老大难”问题,一直困扰着IT系统的运维人员,因为弱口令是最容易出现的也是最容易被利用的漏洞之一。从好莱坞明星的“艳照门”事件到海康威视“安全门”事件,都是因为弱口令问题被黑客加以利用而导致大量隐私泄露。网络的危害-
圣博润通过对2019年全年应急响应处理漏洞利用攻击事件进行统计分析,弱口令、永恒之蓝漏洞是政企机构、大中型企业被攻陷的重要原因,其次,weblogic反序列化也经常作为黑客日常利用的攻击手段。应急响应事件中常见漏洞利用方式弱口令占比最高。
网络的危害,安全是需要人、技术、管理的全方位保障,然而人与管理由于其复杂性,常常成为入侵突破口。我国在2019年处理的安全事件中,弱口令事件占比35.1%,钓鱼邮件相关事件占比7%,配置不当事件占比3%,人和管理相关的事件合计占总数的1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。网络的危害-
下面就来为大家介绍一下弱口令的威胁及解决方案。
弱口令威胁
所谓弱口令,就是非常简单的密码,比如“admin、123456、666666”等等。这类密码因为很方便记忆,所以被大量使用,但是也非常容易让他人猜测到,更容易被黑客暴力破解。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。
网络的危害,弱口令是如何形成的?
弱口令的成因无非就是源于人类的惰性。企业中的运维人员要负责少则几十台,多达几百台的应用系统设备。无论从什么角度来看,忘记密码造成的麻烦甚至是损失都是不小的,因此许多用户会选择使用简单好记的密码或总是让浏览器记住密码。有时候甚至可能是身份的相关信息,还有将所有服务器账号密码保存到电子文档内,黑客很容易就能够获得这些信息,这里就涉及到了用户的信息安全。如果要保护口令的安全,就需保护用户的信息安全。这里波及的面更广,拿到了用户信息就可能拿到用户的财务信息,包括银行卡密码。网络的危害-
解决方案
那么,对于企业来说,该如何规避此类风险?规避弱口令问题,企业必须从管理和技术两方面着手。管理方法不再赘述,通常情况下,大部分企业会选择这些做法:
一、进行员工培训,提高员工的网络安全意识
二、在制度上严格规定,规范账号密码使用方法
网络的危害,弱口令不是简单的管理问题,每个人都有使用固定的密码的习惯。培训和制度的约束很难改变一个人的行为习惯,况且培训和制度的约束效果无法量化,实施起来收效甚慢,还需要结合行之有效的技术措施。圣博润基于多年的安全实践经验,对弱口令的检测和防护提出了多维度的全面解决方案。网络的危害-
弱口令也不是一个单纯的技术问题。比如我们可以通过技术手段强制要求密码的复杂策略,但是防不住员工把密码贴在显示器上,这也是弱口令导致泄露事件频发的原因之一。
网络的危害,为了解决这一系列问题,圣博润提出基于对IT运维管理人员远程执行服务器和网络设备运维操作的全过程管理的产品。主要实现了远程IT运维过程中的集中帐号管理、集中账号口令管理、集中登录认证、集中用户授权和集中操作审计。网络的危害-
服务侧防护--基于堡垒机的统一用户与权限管理
网络的危害,服务侧防护采用基于圣博润堡垒机进行统一用户与权限管理的思路。圣博润安全审计系统-堡垒机系列(LanSecS内控管理平台,以下简称圣博润堡垒机)提供一套先进的运维安全管控与审计解决方案,目标是帮助企业转变传统IT 安全运维被动响应的模式,建立面向用户的集中、主动的运维安全管控模式,降低人为安全风险,满足合规要求,保障企业效益。
圣博润堡垒机产品通过逻辑上将人与目标设备分离,建立“人->主账号(堡垒机用户账号)->授权->从账号(目标设备账号)->目标设备”的管理模式;在此模式下,通过基于唯一身份标识的集中账号与访问控制策略 ,与各服务器、网络设备、安全设备、数据库服务器等无缝连接,实现集中精细化运维操作管控与审计。网络的危害-
圣博润-基于堡垒机的运维侧弱口令解决方案
基于企业中操作系统、网络设备、数据库等的弱口令问题,圣博润提出基于堡垒机的主从账号集中管理、主从账号强身份认证解决方案。
主账号强密码策略+动态认证
网络的危害,采用“静态密码”+“动态认证”的方式来解决终端的弱口令问题,支持UsbKey、AD、手机动态令牌、短信、Raidius、CA(自主CA或与格尔、飞天、北京CA、总参56、龙脉等主流认证厂商结合)等认证方式。网络的危害-
建立基于唯一身份标识的全局实名制管理,支持统一账号管理策略,实现与各服务器、网络设备、安全设备、数据库服务器等无缝连接。
从账号“公私钥认证”
网络的危害,私钥由堡垒机保管,无需密码登录目标服务器,有效避免运维人员绕过堡垒机访问服务器以及运维人员自己设置口令带来的弱口令风险。网络的危害-
从账号“一次一密”(OTP认证)
登录目标服务器采用“一次一密”的安全认证方式,增强登录安全性,静态密码直接由堡垒机托管,通过强制密码策略定期修改符合安全基线要求的强密码。
方案优势
强大的改密驱动
至少支持windows系统、linux/unix系统、网络设备、数据库等设备账号的口令修改。更为广泛的账号改密驱动,在被管理资源类型丰富复杂时有更强的适应性。
更高的口令安全性
网络的危害,依托“保密测评”要求中的密码策略复杂度要求作为默认策略生成口令,可自定义口令变更周期和口令强度,口令变更方式至少支持手动指定固定口令,通过密码表生成口令,依照设备挂载的口令策略生成随机口令,依照密码策略生成同一口令等方式。网络的危害-
产生的口令/私钥使用国密算法(不可逆)记性数据加密存储到数据库中,登录目标设备时运维人员不需要获取密码,登录过程采用加密协议进行连接、通讯;需要获取口令时,由2个管理员分别获取密码包和解密密钥,并使用专用的解密器才可打开。
网络的危害,通过圣博润多维度弱口令解决方案,可以在加强管理的基础上,辅之以强有力的技术措施帮助各个行业企业及其他中央直属企业高效、准确的发现存在的弱口令及并掌握其分布情况做到“早诊断、早发现、心中有数”;建立“服务侧+用户侧”多维度的弱口令防护体系,降低人为安全风险,避免安全损失,满足合规要求,保障企业效益。网络的危害-