网络安全工作要点:第二篇 安全自查之账号安全审查
01弱口令之殇
动物园饲养员不断加高围墙,加到100米的时候,长颈鹿问袋鼠“你明天还出去吗?”“应该会出去,如果他们依然用这么简单的密码的话。”袋鼠回答
看到上面的漫画,我们可以联想到单位机构对于自身网络安全也存在类似的情况,企业内部系统繁多(应用、数据库、网络设备、操作系统),导致很多单位机构对于密码管理比较弱,很多时候为了便于管理,操作系统会存在相同密码或相似密码的情况、应用、网络设备会存在默认密码用户,单位机构员工为了方便记住密码,往往也使用简单数字、手机号、工号、姓名等作为密码;假如被黑客利用,黑客可能会直接进入企业内部网络。
因此,本文将讲解怎么进行账号安全审查,以最大限度降低弱口令带来的影响。
02弱口令容易出现在哪里
下面我们总结一下哪些地方容易出现账号安全问题:
1、协议登录:RDP(远程桌面)、SSH、TELNET、FTP等用于管理或传输的协议。
2、应用登录:各类操作系统、数据库、中间件、web应用系统等应用系统所涉及所有账号安全。
3、设备管理登录:防护设备、服务器主机、路由器、交换机、网络打印机等基础设备。
03怎么做账号安全审查
账号安全审查主要从三个方面进行:现有账号审查、账号安全策略筛查、异常日志筛查。
1、账号进行安全审查
现有账号审查主要针对两方面,一是单位机构信息资产账号密码审查,二是企业单位员工所使用的应用系统账户密码审查。
① 机构单位信息资产账号筛查
前期信息资产梳理对应的操作系统、数据库、第三方服务、防护设备必须要求其归口负责人核实管理账号密码,是否为随机8位以上复杂密码。管理员账号往往权限最大,涉及的敏感信息也最多,所有一定要注意。
内部人员/供应商信息泄露或因历史遗留问题,造成账户信息泄露,应用系统的归口负责人需要对VPN、堡垒机、应用系统、设备及主机等现存账号进行梳理,将离职、不活跃、供应商、合作伙伴账号进行回收或密码重置,确保账号密码专人专用,执行权限最小化原则。
② 单位员工账号筛查
应用系统归口负责人或网络安全部门可以使用员工登录时应用系统默认密码(很多员工往往为方便使用就不修改默认密码,或有些员工都没有登录过应用系统)、通用弱口令字典对应用系统的账号进行弱口令扫描,发现存在弱口令可以远程登录验证。如条件允许,在如OA、自建邮箱等应用系统筛查时,系统归口负责人还可以通过数据库导出密码字段判断是否存在弱口令。
2、账号安全策略筛查
账号安全策略可以有效抵抗攻击者的暴力破解攻击,同时也可以有效督促员工在账号安全方面的工作,因此也是安全审查的重中之重。对VPN、堡垒机、应用系统、设备及主机等当前账号安全策略进行梳理,主要可以从如下几方面进行:
3、异常日志分析
对VPN、堡垒机、应用系统、设备及主机等账号登录相关日志进行审计,关注如凌晨登录、异地登录、登录频繁失败等异常登录行为,并且及时与账号所有者进行确认,处理相关事件。
04结语
账号安全问题是一个容易被忽视的安全问题,而攻击者往往利用的正是这点,并且攻击者的入侵可能被防护设备认为是正常的访问,而不会阻断或监控其入侵行为,最严重的情况可能导致单位机构整个网络被攻破而不被发现,因此单位机构一定要关注账号安全管理,同时应提醒员工在账号安全方面应注意密码的设定和存储方式,提高安全防护意识。
我有话说: