強密碼是(shì)保護用(yòng)戶帳戶的(de)關鍵——即使是(shì)已經忘記的(de)帳戶。黑(hēi)客也(yě)會(huì)尋找任何方法來(lái)訪問(wèn)用(yòng)戶的(de)環境或竊取數(shù)據,甚至利用(yòng)早已被遺忘的(de)陳舊(jiù)或不(bù)活躍的(de)帳戶。
舊(jiù)賬戶很(hěn)容易被忽視(shì),但(dàn)它們仍然可(kě)以為(wèi)黑(hēi)客提供初始訪問(wèn)路(lù)線,并為(wèi)他(tā)們提供擴大(dà)活動的(de×)平台。每個(gè)有(yǒu)權訪問(wèn)用(yòng)戶基礎設施的(de)賬戶都(dōu)很(hěn)重要(yào)。
保護測試賬戶
測試環境(例如(rú)在創建新軟件(jiàn)或網站(zhàn)功能(néng)時(shí)生(shēng)成的(de)環境)是(shì)黑(hē↓i)客的(de)首要(yào)目标。犯罪分(fēn)子(zǐ)可(kě)以利用(yòng)這(zhè)些(βxiē)帳戶輕松訪問(wèn)數(shù)據:例如(rú),用(yòng)于開(kāi)發測試環境的(de)真實客戶信息。他(tā)們甚至可(kě)以利用(yòng)這(♥zhè)些(xiē)環境作(zuò)為(wèi)跳(tiào)闆,訪問(wèn)其他(tā)更具特權的(de)帳戶。黑(hēi)客可(kě)以利用(yòng)管™理(lǐ)員(yuán)或特權帳戶造成更大(dà)的(de)破壞。
當熟練的(de)攻擊者獲得(de)具有(yǒu)登錄憑據的(de)任何用(yòng)戶帳戶的(de)訪Ω問(wèn)權限(即使是(shì)具有(yǒu)非常低(dī)訪問(wèn)權限的(de)舊(jiù)測試帳戶)時(shí),他(tā)們可(kě)以将其用(yòng)作×(zuò)擴展訪問(wèn)權限和(hé)提升權限的(de)平台。
例如(rú),他(tā)們可(kě)以在具有(yǒu)相(xiàng)似權限級别的(de)帳戶之間(jiān)水(shuǐ)平移動,或者垂直跳(tiào)轉到(dào)具有(yǒu)更多(duō)權限的(de)帳戶,例如(rú) IT 團隊帳戶或管理(lǐ)員(yuán)帳戶。
微(wēi)軟漏洞利用(yòng)測試賬戶
今年(nián) 1 月(yuè),微(wēi)軟表示其公司網絡遭到(dào)俄羅斯黑(hēi)客的(de)攻擊。名為(wèi) Mi'dnight Blizzard 的(de)攻擊者竊取了(le)電(diàn)子(zǐ)郵件(jiàn)和(hé)附加文(wén)件(jiàn)。
微(wēi)軟表示,隻有(yǒu)“極小(xiǎo)一(yī)部分(fēn)”公司電(diàn)子(z®ǐ)郵件(jiàn)賬戶遭到(dào)入侵,但(dàn)其中确實包括高(gāo)層領導以及網絡安全和(hé)法律團隊的(de)員(yuán)≤工(gōng)。
攻擊者使用(yòng)“密碼噴灑攻擊”入侵,這(zhè)是(shì)一(yī)種暴力破解技(jì)術(shù),涉及對(duì)多(duō)個(gè)賬戶嘗試相(xi÷àng)同的(de)密碼。這(zhè)次攻擊沒有(yǒu)利用(yòng)微(wēi)軟系統或産品的(de)漏洞。
相(xiàng)反,這(zhè)就(jiù)像猜測未使用(yòng)的(de)測試帳戶上(shàng)的(de)弱密碼或已知(zhī)被破解的(de)密碼一(yī)樣簡單。用(yòng)該¥軟件(jiàn)巨頭的(de)話(huà)來(lái)說(shuō),攻擊者“使用(yòng)密碼噴灑攻擊來(lái)破壞傳統的(de)非生(shēngβ)産測試租戶帳戶并獲得(de)立足點”。
這(zhè)就(jiù)強調了(le)确保所有(yǒu)帳戶(而不(bù)僅僅是(shì)管理(lǐ)員(yuán)或特權帳戶)獲得(de)最高(gāo)級别保護的(de♣)重要(yào)性。
至關重要(yào)的(de)是(shì),企業(yè)應避免在測試賬戶上(shàng)使用(yòng)弱憑據或默認憑據;在 PoC 之後,應停用(yòng)®測試賬戶/環境;并且應正确隔離(lí)測試賬戶和(hé)類似環境。
如(rú)何使用(yòng)強密碼确保所有(yǒu)賬戶安全
那(nà)麽用(yòng)戶可(kě)以采取什(shén)麽措施來(lái)保護自(zì)己的(de)所有(yǒu)帳戶——即使是(shì)在非≥活動環境中時(shí)。
·Active Directory 審計(jì):保持對(duì)未使用(yòng)和(hé)不(bù)活躍帳戶以及其他(tā)與密碼相(x✔iàng)關的(de)漏洞的(de)可(kě)見(jiàn)性至關重要(yào)。
·多(duō)因素身(shēn)份驗證:MFA 是(shì)抵禦黑(hēi)客的(de)重要(yào)防禦措施,即使密碼被洩露,也(yě)能(néng)為(wèi)您提供額外(wài)的ε(de)防禦層。
防禦措施越多(duō)越好(hǎo),可(kě)以從(cóng)雙因素身(shēn)份驗證開(kāi)始λ。例如(rú),輸入密碼後通(tōng)過一(yī)次性密碼确認。然而,最強大(dà)的(de) MFA 不(bù)止兩個(gè)步驟,可(kě)能(néng)還(hái)包括生(shēng)物(wù)識别方法,例如(rú)面部掃描或指紋。
如(rú)果用(yòng)戶在賬戶(甚至是(shì)測試賬戶)中建立了(le) MFA,安全性将大(dà)大(dà)提高₹(gāo)。但(dàn)是(shì),請(qǐng)注意 MFA 仍然可(kě)以被規避,密碼洩露仍然是(shì)最常見(jiàn)的(de)起點。
·加強密碼策略:有(yǒu)效的(de)密碼是(shì)抵禦黑(hēi)客的(de)重要(yào)第一(yī)道(dào)防線。用(yòng)戶·的(de)密碼♣策略應阻止最終用(yòng)戶創建包含常見(jiàn)基本術(shù)語或鍵盤行(xíng)列(如(rú)“qwerty”或“123456”)的(de)弱密碼。
最好(hǎo)的(de)方法是(shì)強制(zhì)使用(yòng)長(cháng)而獨特的(de)密碼或密碼短(duǎn)語,同時(shí)使用(yòng)自(zì)定義詞典來(lái)阻ε止與特定組織和(hé)行(xíng)業(yè)相(xiàng)關的(de)任何術(shù)語。
升級所有(yǒu)帳戶的(de)密碼安全性
毫無疑問(wèn),人(rén)們面對(duì)的(de)是(shì)一(yī)群非常老(lǎo)練的(de)網絡犯罪分(fēn)子(zǐ),他(tā)們會(huì)利用(yòng)任何弱點來(lá≈i)破壞用(yòng)戶的(de)系統、竊取用(yòng)戶的(de)數(shù)據、造成經濟損失甚至毀掉聲譽。這(zhè)些(xφiē)犯罪分(fēn)子(zǐ)往往采用(yòng)新技(jì)術(shù)來(lái)實施密碼噴灑攻擊和(hé)其他(tā)暴力破解方法。
然而,盡管這(zhè)些(xiē)技(jì)術(shù)為(wèi)黑(hēi)客提供了(le)新的(de)攻擊途徑,但(dàn)它也(yě)是(shì)建立>防禦的(de)關鍵。借助密碼策略和(hé)密碼審計(jì)器(qì)等工(gōng)具,用(yòng)戶可(kě)以檢測帳戶中的(de)漏洞,甚至是(shì)不(bù)知(zhī)道(dào)§的(de)漏洞。所以,建議(yì)所有(yǒu)人(rén)都(dōu)應該勤加利用(yòng)相(xiàng)關安全工(gōng)具<以保護自(zì)己的(de)賬戶。
