本文來自安全牛。
很多時(shí)候,未經(jīng)授權(quán)的用戶在訪問企業(yè)的敏感數(shù)據(jù)庫和網(wǎng)絡(luò)時(shí),并不會(huì)被企業(yè)所重視,只有在發(fā)生安全事故后,企業(yè)才會(huì)意識到這種被忽略的“日常行為”存在多大的隱患。因此,企業(yè)應(yīng)該對未授權(quán)訪問行為進(jìn)行嚴(yán)格管控,建立一套可靠的管理流程,以檢測、限制和防止未授權(quán)訪問事件的發(fā)生。
簡而言之,當(dāng)攻擊者擅自訪問企業(yè)組織的網(wǎng)絡(luò)時(shí),就會(huì)發(fā)生未授權(quán)訪問,其訪問對象包括數(shù)據(jù)庫、設(shè)備端點(diǎn)或應(yīng)用程序環(huán)境等。
未授權(quán)訪問不僅只針對企業(yè)系統(tǒng),也可能針對個(gè)人用戶。比如,他人未經(jīng)許可使用用戶的私人手機(jī)就是未授權(quán)訪問,這種對個(gè)人用戶進(jìn)行擅自訪問的手法有多種,會(huì)造成各種嚴(yán)重后果,如數(shù)據(jù)泄露、財(cái)務(wù)損失、服務(wù)不可用(DDoS攻擊)或者對整個(gè)網(wǎng)絡(luò)失去控制(勒索軟件攻擊)等。
攻擊者只需發(fā)現(xiàn)其訪問目標(biāo)敏感位置的薄弱環(huán)節(jié)如安全漏洞、未受保護(hù)的端點(diǎn)或密碼撞庫等,就可以通過多種方式實(shí)施未授權(quán)訪問攻擊。
攻擊者一旦訪問了企業(yè)系統(tǒng)中的一個(gè)敏感區(qū)域,就有可能不受限制地繼續(xù)訪問其他位置。例如,如果他們找到了企業(yè)敏感系統(tǒng)的密碼,那利用這個(gè)賬戶密碼就可以將攻擊范圍擴(kuò)大到整個(gè)企業(yè)網(wǎng)絡(luò)。類似地,上傳惡意文檔或運(yùn)行惡意軟件也是攻擊者利用訪問權(quán)限趁虛而入的慣用手段。
為了幫助企業(yè)組織進(jìn)一步避免未授權(quán)網(wǎng)絡(luò)訪問行為,規(guī)避潛在的安全風(fēng)險(xiǎn),本文匯總了針對未授權(quán)網(wǎng)絡(luò)訪問管理的十大安全措施,以下為具體內(nèi)容:
1
加強(qiáng)設(shè)備的物理安全
如果攻擊者獲得了企業(yè)內(nèi)部敏感系統(tǒng)的物理訪問權(quán),那企業(yè)組織的技術(shù)安全措施將形同虛設(shè)。因此企業(yè)要盡量保證內(nèi)部計(jì)算機(jī)或其他設(shè)備處于密碼鎖定的狀態(tài),而且企業(yè)組織不應(yīng)該在辦公室或上述相關(guān)系統(tǒng)旁公示登錄密碼。此外,對于敏感文件要定制高級訪問權(quán)限,因?yàn)閷λ性O(shè)備嚴(yán)加看管是防止未授權(quán)訪問的關(guān)鍵。
2
設(shè)置強(qiáng)密碼
密碼破解工具愈發(fā)智能化,密碼泄露也愈發(fā)常見,因此設(shè)置獨(dú)特的強(qiáng)密碼很重要。重復(fù)使用密碼、使用已知密碼或很容易被猜到的單詞、短語來作為密碼存在很多風(fēng)險(xiǎn)。例如,“admin/admin”是許多組織最常用的用戶名和密碼組合,這種常見的密碼存在很大風(fēng)險(xiǎn)。
理想情況下,密碼應(yīng)該是具有獨(dú)特性的長密碼(至少11個(gè)字符),最好選擇數(shù)字和特殊字符混合的方式。密碼越復(fù)雜,攻擊者獲得未授權(quán)訪問所需的時(shí)間就越長。
3
采用多因素身份驗(yàn)證
除了強(qiáng)密碼外,確保企業(yè)系統(tǒng)賬戶安全的另一個(gè)有效策略是通過采用多因素身份驗(yàn)證來加強(qiáng)登錄環(huán)節(jié)的安全。無論是通過一次性口令(OTP)、生物特征識別掃描,還是身份驗(yàn)證器應(yīng)用程序,即使在密碼泄露的情況下,多因素身份驗(yàn)證措施都能進(jìn)一步確保授權(quán)登錄賬號的安全性。
4
配置強(qiáng)大的防火墻
對于不斷增加的網(wǎng)絡(luò)威脅,企業(yè)可以選擇配置功能強(qiáng)大的防火墻來解決安全問題并防止惡意攻擊,這些防火墻需要具備保護(hù)企業(yè)網(wǎng)絡(luò)、Web應(yīng)用程序及其他核心組件的功能。企業(yè)組織可以通過聘請專業(yè)的托管服務(wù)提供商(MSP),來配置符合自身網(wǎng)絡(luò)安全需求的防火墻。
5
限制用戶對敏感系統(tǒng)的訪問
防止攻擊者未授權(quán)訪問企業(yè)系統(tǒng)或設(shè)備的另一個(gè)有效策略是,系統(tǒng)設(shè)立之初就限制授權(quán)訪問,要求只有最值得信賴的員工才有權(quán)利訪問,這種做法對于保護(hù)敏感的數(shù)據(jù)庫和設(shè)備十分有效。
6
采用單點(diǎn)登錄(SSO)
單點(diǎn)登錄(SSO)有助于更有效地管理用戶和IT人員的賬戶。一方面,用戶只需記住一個(gè)密碼即可登錄;另一方面,IT人員可以在必要時(shí)迅速終止異常行為活動(dòng),進(jìn)而輕松管理賬戶。例如,如果攻擊者冒用員工賬戶被檢測到后,安全團(tuán)隊(duì)就可以立即停止該賬戶對其他所有系統(tǒng)的訪問行為。
7
運(yùn)用IP白名單
IP白名單與Web應(yīng)用防火墻(WAF)可以讓企業(yè)組織中的合法用戶訪問更加便利,在遠(yuǎn)程工作環(huán)境下特別有用,但是對于使用動(dòng)態(tài)IP、訪問代理或VPN的用戶來說行不通。因此,遠(yuǎn)程用戶最好是尋求固定的IP地址,無論這些IP地址是來自其自身的ISP,還是來自VPN/代理服務(wù)提供商。
8
監(jiān)控登錄活動(dòng)
企業(yè)組織應(yīng)該能夠通過監(jiān)控來發(fā)現(xiàn)異常的登錄活動(dòng)。例如,組織在部署了監(jiān)控系統(tǒng)之后,就可以及時(shí)發(fā)現(xiàn)企業(yè)系統(tǒng)或設(shè)備中存在的可疑賬戶登錄或異常登錄活動(dòng),并采取相應(yīng)的補(bǔ)救策略,如撤銷賬戶訪問權(quán)限以避免攻擊。
9
定期運(yùn)行漏洞掃描
由于攻擊者總是在不停地伺機(jī)尋找未修補(bǔ)的漏洞,進(jìn)而對目標(biāo)網(wǎng)絡(luò)實(shí)施未授權(quán)訪問。因此,企業(yè)組織應(yīng)定期進(jìn)行漏洞掃描或選擇聘請第三方專業(yè)人員,協(xié)助IT員工管理IT安全。
10
及時(shí)更新應(yīng)用軟件版本
未及時(shí)對存在漏洞的系統(tǒng)進(jìn)行修補(bǔ)是對業(yè)務(wù)安全構(gòu)成最大威脅的原因之一,同時(shí)也是最容易被企業(yè)組織忽視的一個(gè)問題。Red Cross公司最近遭到網(wǎng)絡(luò)攻擊就是由于未及時(shí)修補(bǔ)的漏洞造成的。因此,企業(yè)組織必須采取有效、強(qiáng)大的補(bǔ)丁管理策略。