企業(yè)的安全管理可以說是一個惡性循環(huán)。當(dāng)某種安全違規(guī)行為發(fā)生時,企業(yè)就會增加一個新的安全級別,這無形中就增加了用戶在實(shí)際工作中的麻煩,進(jìn)而開始尋求解決這些麻煩問題的解決方法。然后就出現(xiàn)了安全違規(guī)行為的一個突破口,這一惡性循環(huán)又重新開始了。
“每當(dāng)我們遭遇到某一安全缺口時,企業(yè)IT安全責(zé)任部門就會將'安全圍欄'增高三英尺,并指望用戶來'挑戰(zhàn)'這三英尺高的圍欄。”位于安大略省的SecureKey Technologies公司首席身份官Andre Boysen表示。
許多用戶管理多個站點(diǎn)賬戶所采用一套應(yīng)對方法是多站點(diǎn)共用同一密碼。這樣,一旦其中任何一處站點(diǎn)的密碼遭泄露,那么,所有這些賬戶就可能都受到影響,包括那些與工作相關(guān)的賬戶。
“鑒于我們在密碼管理方面的安全狀況已然夠糟糕的了,而第二大因素使得現(xiàn)狀變得更糟。”他說。文本信息、智能手機(jī)的應(yīng)用程序、USB、聲音,視頻和指紋掃描儀,這些技術(shù)的廣泛普及,成為了安全管理威脅的第二大因素,使得安全管理工作簡直沒有盡頭,也沒有明確的贏家。
“這無疑加劇了用戶在實(shí)際中的困惑。”他說。
一些企業(yè)正在通過減少用戶的密碼數(shù)量來解決這一問題,利用密碼管理工具來幫助他們管理他們的密碼,并切換到更人性化的第二因素系統(tǒng),如智能手機(jī)應(yīng)用程序。
如下,是企業(yè)可以用以借鑒參考解決相關(guān)密碼管理問題的五種方法:
1、基于云的密碼管理服務(wù)
實(shí)現(xiàn)單點(diǎn)登錄對于一家實(shí)施集中管理的企業(yè)是足夠的。而當(dāng)試圖將其強(qiáng)加在一些自主自治性的部門則幾乎是不可能的。
這正是Rotary International公司所面臨的密碼問題。這家全球性的服務(wù)機(jī)構(gòu)擁有120萬會員,分屬于34000家不同的俱樂部。
由于這些成員俱樂部都是自治的,這樣可能在一處俱樂部網(wǎng)站用戶有一個登錄名和密碼,而到另一處區(qū)域性的網(wǎng)站又有另一套相關(guān)的賬戶密碼,而了國家地域級別的網(wǎng)站又有一套單純的賬戶密碼,甚至對于移動應(yīng)用程序和相關(guān)配套開發(fā)的其他服務(wù),又有一套密碼系統(tǒng)。
“這無疑是相當(dāng)混亂的。” 這家位于伊利諾伊州埃文斯頓的Rotary International公司CIO彼得·馬科斯說。
我們所面臨的挑戰(zhàn)問題是要在整個企業(yè)范圍內(nèi)進(jìn)行安全更新,包括那些實(shí)行自主性管理的俱樂部網(wǎng)站。 “這引導(dǎo)我們開始采用云服務(wù)。”他說。具體來說,他們選擇了Octa,這是一家按需身份和訪問管理的服務(wù)供應(yīng)商。
另外,云交付意味著Rotary公司將得到持續(xù)的改進(jìn)。“我們現(xiàn)在可以提供安全即服務(wù)。”他說。本地的俱樂部可以發(fā)送登錄請求到上級組織,其可以作為中央的樞紐連接其所有的俱樂部成員。
“其簡化了俱樂部的管理。”他說。“他們無需自行管理自己的用戶了,也大大方便了俱樂部的用戶成員,使整個企業(yè)的資源能夠更便捷的在全球范圍內(nèi)訪問。”
整個過程中最難的部分是將個別俱樂部納入到整個企業(yè)的用戶管理系統(tǒng)。大約8000家俱樂部使用了現(xiàn)成的俱樂部管理軟件,現(xiàn)在,整個渠道都能夠已經(jīng)可以 采用安全即服務(wù)了。另外1000家左右的俱樂部切換到自己的管理系統(tǒng)。馬科斯說,使用率的普及起步慢,但他希望隨著技術(shù)自身不停的得到驗(yàn)證,并達(dá)到臨界質(zhì) 量,其部署采用率將得到逐步提高。“但仍然有很多俱樂部并不愿意放棄他們的控制權(quán)。”他補(bǔ)充道。
Rotary公司也正在改變其自身看待密碼的方式,不再固定的采用他們曾經(jīng)的標(biāo)準(zhǔn)的八個字符的密碼。
“我們正在尋求擺脫僅僅依靠由特殊字符,大寫字母,數(shù)字,和增加密碼字符長度的方法,而鼓勵他們使用一個短語。”他說。“這樣的密碼長度足夠,能夠提供足夠的密碼安全,并解決蠻力型攻擊,而我們的成員將更容易記住這種短語型的密碼。”
2、現(xiàn)成的密碼管理軟件
Secure-24公司是一家總部位于底特律的托管企業(yè),服務(wù)于汽車業(yè),制造業(yè)和醫(yī)療保健業(yè)等企業(yè)。該公司也同樣面臨著密碼管理的問題,他們需要為其客戶進(jìn)行密碼管理,而這些客戶需要能夠確保自己安全地訪問他們的系統(tǒng)。
“客戶會要求我們?yōu)椴煌姆?wù)器,不同的技術(shù)創(chuàng)造密碼,但他們又不想讓我們知道這些密碼,或?qū)⑵浔4婊蛴涀∵@些密碼。”該公司的系統(tǒng)工程師Eric Zehnder表示。
為了解決這個問題,Secure-24轉(zhuǎn)向采用Thycotic的秘密服務(wù)器企業(yè)密碼管理軟件。該軟件為多家企業(yè)客戶在多個領(lǐng)域提供自動化的密碼管理。
不存在密碼落入壞人手中的風(fēng)險(xiǎn)。“用戶甚至都不知道密碼。”Thycotic的企業(yè)信息安全架構(gòu)師凱文瓊斯表示。
3、智能手機(jī)應(yīng)用程序的雙因素認(rèn)證
當(dāng)然,用戶在一定程度上也必須進(jìn)行自身系統(tǒng)的驗(yàn)證。而消除登錄總數(shù)意味著第一次登錄就顯得更為重要。
Secure-24采用雙因素認(rèn)證的方法以確保安全識別用戶,同時,該公司正在努力以使得這個過程更簡單。
在過去,第二因素是典型的密鑰:RSA安全I(xiàn)D或Vasco Digipass,取決于客戶的偏好。這對于那些將密鑰保管在密鑰鏈的企業(yè)非常奏效。
“如果沒有密鑰,他們將如何工作?” Secure-24的Zehnder說。但是有些員工將其拴在他們的工牌吊帶上,更容易被忘在家里。
另外,遠(yuǎn)程辦公者可能在工作時沒有將密鑰隨身帶著。“我通常會隨身帶著我的手機(jī),但我不會隨身帶著密鑰。” Zehnder說。
現(xiàn)在,該公司正在逐漸放棄密鑰的方法,而采用基于iPhone和Android設(shè)備的應(yīng)用程序。“我注意到仍然有更多的數(shù)字密碼,這些軟件應(yīng)用程序通常有一串長達(dá)八位數(shù)的PIN碼,而在之前也只有六位字符的密碼。”他補(bǔ)充道。
基于手機(jī)的系統(tǒng)的成本是相當(dāng)便宜的,他說。Secure-24過去需要購買大型機(jī)架,每臺機(jī)架的大約100美元。Zehnder說。“所以,曾經(jīng)有一 家采用我們技術(shù)的客戶每次當(dāng)他們的員工丟失了密鑰,就會很生氣,因?yàn)檫@需要花費(fèi)昂貴資金來更換。但手機(jī)應(yīng)用程序軟件則是免費(fèi)的,所以其管理成本會比較便宜 一點(diǎn)。”
另外,如果手機(jī)丟失,遠(yuǎn)程禁用應(yīng)用程序是很容易的,他補(bǔ)充說。而且,現(xiàn)在對于那些智能手機(jī)的粉絲來說有更多的好消息。隨著iOS系統(tǒng)在2014年9月進(jìn)行的更新,蘋果現(xiàn)在已為第三方開發(fā)者開放其Touch ID指紋識別功能了。
“當(dāng)我開始看到密碼應(yīng)用程序使用您的指紋來生成一個隨機(jī)密碼或隨機(jī)代碼時,我不會感到驚訝。”查爾斯說tendell,安全咨詢公司Azorian Cyber Security的創(chuàng)始人Charles Tendell表示。“隨著其變得越來越簡單,我們將看到其更為廣泛的采用。”
這一領(lǐng)域的安全技術(shù)發(fā)展得很快,安全咨詢公司EmeSec的創(chuàng)始人Maria Horton說。Horton曾擔(dān)任國家海軍醫(yī)療中心的首席信息官,現(xiàn)在與一些聯(lián)邦機(jī)構(gòu)的客戶合作。
當(dāng)談到這項(xiàng)技術(shù)的發(fā)展時,金融機(jī)構(gòu)的企業(yè)會受到重要影響,而政府部門也將成為其中重要的參與者。
兩年前,聯(lián)邦政府層面的主要問題集中在知識共享方面,她說。“但由于身份的訪問控制,知識分享是非常困難的。”她說。因此,今年春天,他們發(fā)起了一項(xiàng)新的身份認(rèn)證與管理倡議。
“這還處在期望階段。”她說,但是聯(lián)邦政府已經(jīng)認(rèn)識到這一個問題,并已開始探索潛在的戰(zhàn)略了。
4、從特權(quán)用戶開始
將整個企業(yè)都轉(zhuǎn)換到一個新的密碼管理和認(rèn)證系統(tǒng)可以是非常困難的,尤其是如果要用戶改變他們的行為。弗吉尼亞州的安全供應(yīng)商Xceedium公司首席 戰(zhàn)略官Ken Ammon建議企業(yè)從他們的特權(quán)用戶開始。這是一個小的群體,而針對這一群體提高安全性將帶來最大的投資回報(bào)。
例如,一些公司采用基于角色的訪問管理模式,或讓多人共享同一個管理員帳戶,或允許根用戶權(quán)限設(shè)置。“因此沒有辦法明確誰執(zhí)行了什么操作。”他說。
如果一個黑客進(jìn)入了公司的系統(tǒng),并獲得了這些證書,他們就可以做大量的破壞。
事實(shí)上,這正是今年許多企業(yè)所遭遇的頂級安全漏洞,包括今年早些時候易趣網(wǎng)所遭遇的黑客攻擊致使大約1.45億用戶記錄被泄露。
網(wǎng)絡(luò)攻擊者竊取了一小部分?jǐn)?shù)量的員工登錄憑據(jù),允許未經(jīng)授權(quán)訪問易趣網(wǎng)的客戶數(shù)據(jù)庫,易趣網(wǎng)在一份聲明中稱。
5、用密碼口令代替密碼
另一個比較簡單的方式是不再采用標(biāo)準(zhǔn)的密碼形式:即由符號,數(shù)字,大寫字母所組成的八個字符的密碼形式,而讓用戶有一段長但容易記憶的密碼口令。
“基于我們在過去的幾年里針對用戶所進(jìn)行的一系列訓(xùn)練,好的密碼是那些他們不記得的。” SANS的網(wǎng)絡(luò)防御課程團(tuán)隊(duì)成員Keith Palmgren說。“更長的密碼,可以讓您輕松地記?。褐T如‘i went fishing last saturday night(我上周六晚上去釣魚了)’就是一個很好的密碼,即使全部小寫。這樣的短語口令不會出現(xiàn)在任何黑客辭典中。如果一家公司想要在這方面進(jìn)行改進(jìn), 但不負(fù)擔(dān)不起遷移到雙因素認(rèn)證的基于令牌或生物認(rèn)證的系統(tǒng),他們應(yīng)該仔細(xì)考慮更改密碼管理政策,開始改變更現(xiàn)實(shí)一點(diǎn)。”
企業(yè)可以做的另一件事是為他們的員工提供個人密碼管理工具,使他們不會在工作中使用與個人網(wǎng)站相同的密碼。
Palmgren使用LastPass。“我有一個網(wǎng)上銀行的密碼有30個字符長,”他說。“這是高度復(fù)雜的,我不需要記住它,因?yàn)長astPass可以幫助我記住。”
一些公司已經(jīng)開始使用企業(yè)版本的LastPass,他說。LastPass是一款基于云計(jì)算的服務(wù),配合本地臺式機(jī)或智能手機(jī)安裝應(yīng)用程序,處理加密問題。
“唯一儲存在我們的服務(wù)器上的是加密的點(diǎn),我們沒有密鑰。” LastPass的發(fā)言人Cid Ferrara說。
目前已經(jīng)有超過5500家企業(yè)使用LastPass了,她說,從中小型企業(yè)到財(cái)富500強(qiáng)。工作和個人密碼是嚴(yán)格分開的,但卻有聯(lián)系的,這樣用戶就不需要在他們的個人賬戶和工作LastPass帳戶之間進(jìn)行切換。
公司可以采用一系列雙因素認(rèn)證技術(shù)和基于SAML的單點(diǎn)登錄系統(tǒng)的組合來使用平臺。
其允許企業(yè)管理團(tuán)隊(duì)成員,例如,誰訪問了共享帳戶。這些口令共享文件夾是消費(fèi)者版本和企業(yè)服務(wù)版本之間的主要差異。
“您企業(yè)可能會有一個五人的營銷團(tuán)隊(duì),他們都需要分享該認(rèn)證證書,”她說。“共享文件夾就可以安全地保證他們的訪問,而不會丟失任何可跟蹤性信息。”