SANS協(xié)會的首席研究人員Johannes Ullrich表示,許多企業(yè)已經(jīng)收集了以各種方法存儲密碼的應用程序和系統(tǒng),無論是員工密碼或客戶密碼,密碼保護都是一個嚴重的問題。
社交網(wǎng)絡和其他企業(yè)應當適當?shù)乇Wo用戶密碼,否則當一個攻擊者入侵盜取數(shù)據(jù)時,會帶來嚴重問題,Ullrich說道。事實已經(jīng)證明,攻擊者高度覬覦帳戶憑據(jù),因為這些數(shù)據(jù)提供了作為身份驗證用戶登錄系統(tǒng)的最簡單方法。LinkedIn的密碼泄露,是近年來帳戶憑據(jù)泄露事件中的一件,也是密碼安全失誤的又一例證。
在一次接受SearchSecurity.com的采訪中,Ullrich談到在網(wǎng)絡上采取各種密碼數(shù)據(jù)庫清單的重要性,部署適當?shù)谋Wo,移除那些以明文形式存儲密碼和其他個人信息的遺留應用。企業(yè)可以部署單點登錄,他補充道。
但類似的保護措施很難應用于電子郵件地址,Ullrich說道。應用程序經(jīng)常需要查看明文的電子郵件地址,而企業(yè)需要可用的電子郵件地址來發(fā)信息給客戶。運用電子郵件加密可能會導致密鑰管理問題。
專家告訴我,LinkedIn的泄露突出了數(shù)據(jù)庫安全性的需要。如果你是一個企業(yè)的首席信息安全官,聽到這個泄露的消息你會怎么做?
Ullrich:我認為首先要做的是,對你網(wǎng)絡上所有的密碼數(shù)據(jù)庫列出清單。困難的是你通常不止有一個密碼數(shù)據(jù)庫。它們四處遍布是因為你可能在過去幾年不斷獲取不同的應用程序。努力得到一個好的清單并弄清楚它們是如何被保護的,這是第一步。當然,還會有不兼容且仍部署在許多網(wǎng)絡上的應用程序。它們要么是以明文形式存儲數(shù)據(jù),要么是哈希運算不充分。努力想出一個過渡計劃似乎是不太可行的,所以你必須想出其他一些緩解控制。
為什么有些密碼數(shù)據(jù)庫企業(yè)可能不知道?
Ullrich:這是因為大多數(shù)網(wǎng)絡隨著時間推移而增長。你發(fā)現(xiàn)企業(yè)可能購買那些并不清楚它們是如何存儲密碼的應用程序。一個企業(yè)有幾十個應用,而這些應用都有自己的密碼存儲。理想情況下你可以分類實施單點登錄。如果我是一名首席信息安全官,這就是我的最終目標。但話又說回來,在所有的遺留應用程序上實現(xiàn)單點登錄通常是一個巨大的挑戰(zhàn)。這可不是你熬通宵就能完成的。
電子郵件地址和密碼是一起存儲的嗎?郵件地址是否應該像密碼那樣被保護?
Ullrich:電子郵件地址和用戶名通常是電子郵件地址的第一部分,往往將它們存在一起。我不認為對于保護電子郵件地址,你還有很多可以做,因為你需要明文的電子郵件地址來給用戶發(fā)郵件。有關密碼的一個事實是,應用程序從來都不需要知道密碼,因此可以使用哈希算法或其他加密方法。但對于電子郵件,你真的沒有什么選項。你可以加密電子郵件地址,但隨后你不得不做一些事情,因為應用程序需要解密。這樣一來,你將面臨密鑰管理問題。
過去幾年中我們看到了大量數(shù)據(jù)泄露事件,它們某種程度上都屬于社會工程。除了培訓外,還可以做什么來保護終端用戶免受社會工程的策略?
Ullrich:你還可以做訪問控制。當然,問題之一是社會工程能說服一位內(nèi)部人士泄露所有的密碼。它并不需要是一個惡意攻擊。攻擊者能夠說服內(nèi)部人士泄露信息,而不需要社會工程。我認為,解決社會工程需要內(nèi)部和外部的控制。你針對惡意內(nèi)幕人所做的同樣也對社會工程攻擊有效。
針對企業(yè)部署的監(jiān)控系統(tǒng)增加的網(wǎng)絡流量,目前人們一直在推動“大數(shù)據(jù)”。這些系統(tǒng)只能部署在大型企業(yè)嗎?
Ullrich:對小型或中型企業(yè)來說,它們需要太多人力來部署和維護這類系統(tǒng)。需要有相當專業(yè)的技能才能操作系統(tǒng)。規(guī)模較小的企業(yè),將在外包監(jiān)測或由兼職系統(tǒng)管理員進行監(jiān)測等其他類似的事情上遇到瓶頸。我不認為這些系統(tǒng)將幫助很大,因為它們往往在收集數(shù)據(jù)而沒有得到正確的監(jiān)控。我認為較小的企業(yè)應該選擇網(wǎng)絡控制,這將會帶來最大的幫助。