黑客們相信只要攻擊者信心堅定，沒有什么密碼是搞不到手的。然而，他們也承認五種關鍵的安全措施能將滲透進企業網絡的難度增加許多。

不管頭銜是白帽子、黑帽子，還是游走在中間的某種狀態，大多數黑客都會同意沒有攻不破的密碼，或者是密碼管理措施。不管他們的態度如何，是否尊重法律，黑客們基本同意，有五種安全措施能夠讓滲透進企業網絡的難度增加許多。

本月早些時候在美國召開的Black Hat 2016大會上，關鍵賬戶管理解決方案提供商Thycotic調查了超過250位自稱為黑客的參會者（匿名參與）。48%的受訪者認為自己是白帽子——幫助機構來發現并處理漏洞的安全研究人員。15%的受訪者則是黑帽子，他們帶著惡意的目的來滲透網絡。

CISSP、Thycotic公司全球聯盟部門負責人Joseph Carson說：“今年我們收到了很人的口頭請求，要求增加灰帽子選項。但目前灰帽子還不屬于調查的范圍。”

灰帽子處在中間地帶。他們向政府機構、執法機構、情報機構和軍方披露、或者銷售自己發現的零日漏洞。從結果上來看，受訪黑客們列出了如下五個安全措施。黑帽子們對于這五項技術的排序有一定的爭議。

1. 將管理員權限限制到系統

其一，任何嚴肅的網絡保護措施都應該從特權賬戶入手。特權賬戶是“王國的鑰匙”，這也讓它們成為了尋求訪問權限，以在網絡中隨意走動的攻擊者的頂級目標。

Thycotic公司在其發布的《Black Hat 2016：黑客調查報告》中稱：“首先，攻擊者通過一切可能的方式獲得一個前哨站，這通常是通過入侵終端用戶計算機做到的。然后，他們嘗試通過入侵特權賬戶來提權，這讓攻擊者能夠像受信任的IT管理員一樣對網絡進行操作。”

要進行響應，機構應當至少部署一項特權策略， 防止在請求并通過之后直接給予特權，降低攻擊者通過針對特權賬戶密碼或哈希來侵入整個網絡的可能性。

Thycotic在報告中說：“通過確保終端用戶按照標準用戶檔案配置，并在需要運行合法、可信應用時臨時提權，可以在終端用戶工作站上部署最小特權策略。對IT管理員的特權賬戶，控制賬號擁有的特權并且對Windows和UNIX系統部署超級用戶特權管理 (Super User Priviledge Management) ，能夠防止攻擊者運行惡意應用、遠程訪問工具和控制臺。”

此外，IT管理員應當只在有必要時使用特權賬戶。當沒有必要使用特權時，應當使用普通賬戶。

2. 保護特權賬戶密碼

說到特權賬戶，很容易陷入將它們和人類用戶聯系起來的誤區。實際上，特權賬戶也會延伸到那些供用戶操作的機器和系統。

機構擁有特權賬戶的數量通常是其員工數量的兩到三倍。Carson指出，所有部署的系統都會自帶一個默認賬戶，此外，所有連接到服務賬號的管理系統也都會有一個賬戶。所有部署的虛擬機都會有特權，而且該特權在虛擬機關機之后仍會存在。如果虛擬機被克隆，這些特權也會隨之被克隆。因此，機構通常會被大量流氓特權賬號塞滿，它們均能夠訪問整個環境。

Thycotic在報告中寫道：“因此，劫持特權賬戶能夠幫助攻擊者訪問并下載機構的敏感數據，毒化數據，大量散播惡意軟件，繞過現存安全措施并抹除審計痕跡，隱藏活動。 主動式管理、監控、控制特權賬戶訪問十分關鍵。這些賬戶對于當今的IT架構是必要的，確保它們被安全地管理事關重大。”

更糟的是，機構仍舊經常依賴于表格文檔等收到那個系統來管理特權賬戶密碼。這已經不只是低效了。Carson指出，此類管理系統本身就很容易遭到入侵，給整個企業帶來顯著的安全風險。

Thycotic寫道：“特權賬戶密碼保護能夠為自動發現并存儲特權賬戶、定期更換密碼、審計、分析、管理各個特權線程活動、 監控密碼賬戶來快速發現并響應惡意活動提供綜合性解決方案。這為在網絡內部保護特權賬戶帶來了一個全新的 安全層級。”

3. 拓展IT安全意識訓練

大多數安全專家認為人類才是機構安全中最弱的一環。

“隨著過去過去幾年中涌現出更多復雜的社會工程和釣魚攻擊，企業應當嚴肅地思考拓展IT安全意識培訓項目這件事了，而不是僅僅停留在執行簡單的在線測試、告知安全策略等手段上。特別是在移動設備日漸應用到商業場景的時代里，教育員工什么才是安全的行為變得勢在必行。”

從歷史上來看，安全意識訓練的結果可能彼此之間大相徑庭。Steve Durbin是Information Security Forum的總經理，他則表示，那些能夠在商業活動中增加正面的信息安全操作的訓練項目能夠將員工從最薄弱的一環變成防御的第一線。

Durbin說：“過程本身可能就是問題。有可能你的系統或過程太復雜、太繁重，而實際上并不必須如此。這樣問你自己：如果我們從頭開始，如何在過程中增加安全措施，讓人們更容易遵從？”

不過需要注意的是，相比黑帽子，白帽子黑客更加信奉安全意識。

“有趣的是，黑帽子和白帽子黑客對全部五個安全措施的排名幾乎是相同的，除了黑帽子不相信IT安全意識訓練有那么重要。總的來看，黑帽子給出的名單中，IT安全意識訓練排在第四位。他們將預防未知應用運行拍在了更高的位置。這有可能是因為黑帽子黑客認為人類是不可預測的，相比于能夠限制風險操作的技術解決方案，他們更像是較弱的環節。”

4. 限制未知應用

如果你不知道一個東西存在，就無法保護它。你需要弄清網絡上運行的應用中究竟哪些是合法的，并確保它們的密碼得到了妥善保管。

Thycotic寫道：“應用賬戶需要被細心存儲。應當使用嚴格的策略進行檢查，確保密碼強度、賬戶訪問權限和密碼替換周期。報告這些賬戶并且執行中心化的管控對于保護關鍵信息資產而言至關重要。”

5. 利用安全最佳實踐保護用戶密碼

歸根結底，這些措施并不都與特權賬戶有關。盡管特權賬戶能夠為攻擊者提供訪問關鍵數據的權限，終端用戶賬戶仍舊是攻擊向量之一。這就是說，77%的受訪者并不認為所有密碼都能避免黑客入侵。

Carson說：“保護用戶密碼排在了最后。有些人可能會說這對企業而言是好消息，因為改變人類行為很難：只讓IT團隊行動起來比動員全公司員工要簡單多了。不過，如果你想要保護終端用戶密碼，應當尋找哪些能夠針對密碼強度、密碼更換周期提供措施，并能提供簡單安全的密碼重置策略的安全解決方案。它們應當定期要求員工更改工作站密碼，當然，這毫無疑問地代表著，員工忘記新密碼之后，技術支持團隊接電話會很忙。”