企業的安全管理可以說是一個惡性循環。當某種安全違規行為發生時,企業就會增加一個新的安全級別,這無形中就增加了用戶在實際工作中的麻煩,進而開始尋求解決這些麻煩問題的解決方法。然后就出現了安全違規行為的一個突破口,這一惡性循環又重新開始了。
“每當我們遭遇到某一安全缺口時,企業IT安全責任部門就會將'安全圍欄'增高三英尺,并指望用戶來'挑戰'這三英尺高的圍欄。”位于安大略省的SecureKey Technologies公司首席身份官Andre Boysen表示。
許多用戶管理多個站點賬戶所采用一套應對方法是多站點共用同一密碼。這樣,一旦其中任何一處站點的密碼遭泄露,那么,所有這些賬戶就可能都受到影響,包括那些與工作相關的賬戶。
“鑒于我們在密碼管理方面的安全狀況已然夠糟糕的了,而第二大因素使得現狀變得更糟。”他說。文本信息、智能手機的應用程序、USB、聲音,視頻和指紋掃描儀,這些技術的廣泛普及,成為了安全管理威脅的第二大因素,使得安全管理工作簡直沒有盡頭,也沒有明確的贏家。
“這無疑加劇了用戶在實際中的困惑。”他說。
一些企業正在通過減少用戶的密碼數量來解決這一問題,利用密碼管理工具來幫助他們管理他們的密碼,并切換到更人性化的第二因素系統,如智能手機應用程序。
如下,是企業可以用以借鑒參考解決相關密碼管理問題的五種方法:
1、基于云的密碼管理服務
實現單點登錄對于一家實施集中管理的企業是足夠的。而當試圖將其強加在一些自主自治性的部門則幾乎是不可能的。
這正是Rotary International公司所面臨的密碼問題。這家全球性的服務機構擁有120萬會員,分屬于34000家不同的俱樂部。
由于這些成員俱樂部都是自治的,這樣可能在一處俱樂部網站用戶有一個登錄名和密碼,而到另一處區域性的網站又有另一套相關的賬戶密碼,而了國家地域級別的網站又有一套單純的賬戶密碼,甚至對于移動應用程序和相關配套開發的其他服務,又有一套密碼系統。
“這無疑是相當混亂的。” 這家位于伊利諾伊州埃文斯頓的Rotary International公司CIO彼得·馬科斯說。
我們所面臨的挑戰問題是要在整個企業范圍內進行安全更新,包括那些實行自主性管理的俱樂部網站。 “這引導我們開始采用云服務。”他說。具體來說,他們選擇了Octa,這是一家按需身份和訪問管理的服務供應商。
另外,云交付意味著Rotary公司將得到持續的改進。“我們現在可以提供安全即服務。”他說。本地的俱樂部可以發送登錄請求到上級組織,其可以作為中央的樞紐連接其所有的俱樂部成員。
“其簡化了俱樂部的管理。”他說。“他們無需自行管理自己的用戶了,也大大方便了俱樂部的用戶成員,使整個企業的資源能夠更便捷的在全球范圍內訪問。”
整個過程中最難的部分是將個別俱樂部納入到整個企業的用戶管理系統。大約8000家俱樂部使用了現成的俱樂部管理軟件,現在,整個渠道都能夠已經可以 采用安全即服務了。另外1000家左右的俱樂部切換到自己的管理系統。馬科斯說,使用率的普及起步慢,但他希望隨著技術自身不停的得到驗證,并達到臨界質 量,其部署采用率將得到逐步提高。“但仍然有很多俱樂部并不愿意放棄他們的控制權。”他補充道。
Rotary公司也正在改變其自身看待密碼的方式,不再固定的采用他們曾經的標準的八個字符的密碼。
“我們正在尋求擺脫僅僅依靠由特殊字符,大寫字母,數字,和增加密碼字符長度的方法,而鼓勵他們使用一個短語。”他說。“這樣的密碼長度足夠,能夠提供足夠的密碼安全,并解決蠻力型攻擊,而我們的成員將更容易記住這種短語型的密碼。”
2、現成的密碼管理軟件
Secure-24公司是一家總部位于底特律的托管企業,服務于汽車業,制造業和醫療保健業等企業。該公司也同樣面臨著密碼管理的問題,他們需要為其客戶進行密碼管理,而這些客戶需要能夠確保自己安全地訪問他們的系統。
“客戶會要求我們為不同的服務器,不同的技術創造密碼,但他們又不想讓我們知道這些密碼,或將其保存或記住這些密碼。”該公司的系統工程師Eric Zehnder表示。
為了解決這個問題,Secure-24轉向采用Thycotic的秘密服務器企業密碼管理軟件。該軟件為多家企業客戶在多個領域提供自動化的密碼管理。
不存在密碼落入壞人手中的風險。“用戶甚至都不知道密碼。”Thycotic的企業信息安全架構師凱文瓊斯表示。
3、智能手機應用程序的雙因素認證
當然,用戶在一定程度上也必須進行自身系統的驗證。而消除登錄總數意味著第一次登錄就顯得更為重要。
Secure-24采用雙因素認證的方法以確保安全識別用戶,同時,該公司正在努力以使得這個過程更簡單。
在過去,第二因素是典型的密鑰:RSA安全ID或Vasco Digipass,取決于客戶的偏好。這對于那些將密鑰保管在密鑰鏈的企業非常奏效。
“如果沒有密鑰,他們將如何工作?” Secure-24的Zehnder說。但是有些員工將其拴在他們的工牌吊帶上,更容易被忘在家里。
另外,遠程辦公者可能在工作時沒有將密鑰隨身帶著。“我通常會隨身帶著我的手機,但我不會隨身帶著密鑰。” Zehnder說。
現在,該公司正在逐漸放棄密鑰的方法,而采用基于iPhone和Android設備的應用程序。“我注意到仍然有更多的數字密碼,這些軟件應用程序通常有一串長達八位數的PIN碼,而在之前也只有六位字符的密碼。”他補充道。
基于手機的系統的成本是相當便宜的,他說。Secure-24過去需要購買大型機架,每臺機架的大約100美元。Zehnder說。“所以,曾經有一 家采用我們技術的客戶每次當他們的員工丟失了密鑰,就會很生氣,因為這需要花費昂貴資金來更換。但手機應用程序軟件則是免費的,所以其管理成本會比較便宜 一點。”
另外,如果手機丟失,遠程禁用應用程序是很容易的,他補充說。而且,現在對于那些智能手機的粉絲來說有更多的好消息。隨著iOS系統在2014年9月進行的更新,蘋果現在已為第三方開發者開放其Touch ID指紋識別功能了。
“當我開始看到密碼應用程序使用您的指紋來生成一個隨機密碼或隨機代碼時,我不會感到驚訝。”查爾斯說tendell,安全咨詢公司Azorian Cyber Security的創始人Charles Tendell表示。“隨著其變得越來越簡單,我們將看到其更為廣泛的采用。”
這一領域的安全技術發展得很快,安全咨詢公司EmeSec的創始人Maria Horton說。Horton曾擔任國家海軍醫療中心的首席信息官,現在與一些聯邦機構的客戶合作。
當談到這項技術的發展時,金融機構的企業會受到重要影響,而政府部門也將成為其中重要的參與者。
兩年前,聯邦政府層面的主要問題集中在知識共享方面,她說。“但由于身份的訪問控制,知識分享是非常困難的。”她說。因此,今年春天,他們發起了一項新的身份認證與管理倡議。
“這還處在期望階段。”她說,但是聯邦政府已經認識到這一個問題,并已開始探索潛在的戰略了。
4、從特權用戶開始
將整個企業都轉換到一個新的密碼管理和認證系統可以是非常困難的,尤其是如果要用戶改變他們的行為。弗吉尼亞州的安全供應商Xceedium公司首席 戰略官Ken Ammon建議企業從他們的特權用戶開始。這是一個小的群體,而針對這一群體提高安全性將帶來最大的投資回報。
例如,一些公司采用基于角色的訪問管理模式,或讓多人共享同一個管理員帳戶,或允許根用戶權限設置。“因此沒有辦法明確誰執行了什么操作。”他說。
如果一個黑客進入了公司的系統,并獲得了這些證書,他們就可以做大量的破壞。
事實上,這正是今年許多企業所遭遇的頂級安全漏洞,包括今年早些時候易趣網所遭遇的黑客攻擊致使大約1.45億用戶記錄被泄露。
網絡攻擊者竊取了一小部分數量的員工登錄憑據,允許未經授權訪問易趣網的客戶數據庫,易趣網在一份聲明中稱。
5、用密碼口令代替密碼
另一個比較簡單的方式是不再采用標準的密碼形式:即由符號,數字,大寫字母所組成的八個字符的密碼形式,而讓用戶有一段長但容易記憶的密碼口令。
“基于我們在過去的幾年里針對用戶所進行的一系列訓練,好的密碼是那些他們不記得的。” SANS的網絡防御課程團隊成員Keith Palmgren說。“更長的密碼,可以讓您輕松地記住:諸如‘i went fishing last saturday night(我上周六晚上去釣魚了)’就是一個很好的密碼,即使全部小寫。這樣的短語口令不會出現在任何黑客辭典中。如果一家公司想要在這方面進行改進, 但不負擔不起遷移到雙因素認證的基于令牌或生物認證的系統,他們應該仔細考慮更改密碼管理政策,開始改變更現實一點。”
企業可以做的另一件事是為他們的員工提供個人密碼管理工具,使他們不會在工作中使用與個人網站相同的密碼。
Palmgren使用LastPass。“我有一個網上銀行的密碼有30個字符長,”他說。“這是高度復雜的,我不需要記住它,因為LastPass可以幫助我記住。”
一些公司已經開始使用企業版本的LastPass,他說。LastPass是一款基于云計算的服務,配合本地臺式機或智能手機安裝應用程序,處理加密問題。
“唯一儲存在我們的服務器上的是加密的點,我們沒有密鑰。” LastPass的發言人Cid Ferrara說。
目前已經有超過5500家企業使用LastPass了,她說,從中小型企業到財富500強。工作和個人密碼是嚴格分開的,但卻有聯系的,這樣用戶就不需要在他們的個人賬戶和工作LastPass帳戶之間進行切換。
公司可以采用一系列雙因素認證技術和基于SAML的單點登錄系統的組合來使用平臺。
其允許企業管理團隊成員,例如,誰訪問了共享帳戶。這些口令共享文件夾是消費者版本和企業服務版本之間的主要差異。
“您企業可能會有一個五人的營銷團隊,他們都需要分享該認證證書,”她說。“共享文件夾就可以安全地保證他們的訪問,而不會丟失任何可跟蹤性信息。”
京公網安備 11010502049343號