我可能会说平庸,但是人们很陌生(IT员工也很双重)。 他们对营销创新非常感兴趣,并渴望介绍它们,但与此同时,却无动于衷地通过了可以真正保护其公司免受实际伤害的技术。
以两因素身份验证技术(2FA)为例。 攻击者可以轻易地监视普通密码和/或窃取(
通常会发生 ),然后以合法用户身份登录。 而且,用户自己很可能在出现不愉快的(有时是非常严重的)后果之前,不会猜测密码被盗的事实。
尽管事实上没有人透露这是事实,但使用两因素身份验证方法将大大减少发生任何严重后果的可能性,甚至可以完全防止它们的发生。
在削减之后,我们将告诉您如何尝试在组织中实施2FA时代替决策者展示自己,并了解如何使他们感兴趣。
对于那些想要一点理论的人:密码如何被盗当事实证明员工使用简单密码(“
Qq1234567 ”)时,他们通常会设置强密码策略。 例如:
密码必须至少包含10个字符,至少一个小写和一个大写字母,至少一个数字和另一个字符; 密码不应包含常用的单词和数字序列; 该密码应每月更改一次,并且不应与之前的12个密码一致 。
但是,由于引入了这样的策略,密码变得难以记住,以至于开始被记录下来。 并将其放在任何人都可以监视的最突出的地方。 例如,像这样:
当他们输入密码时,可以看到整理同事的密码站在他们旁边。
正式设计用于渗透测试的
Kali Linux发行版包括可用于拦截和分析流量以获取用于身份验证的密码的软件,它几乎可以自动执行此操作。 您不需要具有高学历或特殊知识-只需下载Kali Linux发行套件并运行该程序即可。
如果员工在办公室外工作(商务旅行,拜访客户,度假,家庭办公室),则要创建密码,他们会创建与合法名称同名的假访问点,例如,使用同一Kali Linux上的
WiFi-Pumpkin 。 一个人连接到Sheremetyevo的Sheremetievo-WiFi接入点,攻击者可以使用其所有流量。 窃取密码的另一种方法是用恶意代码感染访问点,然后攻击者就有机会分析经过的流量。
两因素身份验证如何工作身份验证是验证用户身份的过程。 用户可以借助以下几个因素来确认其身份:
- 知识因素(“我知道”)。 用户知道他唯一的秘密密码或PIN。 密码可以使用特殊的软件和硬件窃取,也可以只偷窥。 当受害者将自己的密码单独传送给攻击者时,也可以在社会工程学的帮助下获得该密码。
- 拥有因子(“我拥有”)。 用户拥有在身份验证过程中必须使用的物理设备。 通常,这种设备是USB令牌或智能卡 (它也可以用作办公室的电子通行证)。 为了进行身份验证,必须将令牌或智能卡连接到计算机或移动设备。 您也可以使用软件或硬件的一次性密码生成器。
- 属性因子(“我是”)。 生物识别,例如指纹,虹膜图案,DNA等。 一个看似非常可靠的因素,但实际上有很多缺点。 高质量的生物识别读取器非常昂贵,而廉价的生物识别读取器还不够可靠。 指纹学会了伪造 ,虹膜扫描仪经常被误认为, 可以使用头部的三维模型来欺骗面部识别。 此外,指示器的数量非常有限(10根手指,两只眼睛,一只声音)。 可以更改受破坏的密码,可以替换丢失的令牌,但是如果有关指纹的信息到达攻击者,那么用手指乱砍是不正确的(并且完全不可能增加新的指纹)。 我们也不会考虑激光灼伤指纹的痛苦过程。
两个相关因素的组合是两因素身份验证。在大多数情况下,用户需要将令牌/智能卡连接到计算机,然后输入PIN码以打开对令牌的访问权限(对于某些OTP令牌,您需要在设备屏幕上输入代码)。
可以很简单地考虑PIN码,因为即使识别出PIN码,攻击者也无法没有令牌就做任何事情。 并且,如果令牌被盗,所有者将立即检测到这一事实,并立即致电或写信给系统管理员,后者将立即吊销用户的证书,这意味着将无法再使用被盗令牌登录。
Microsoft Windows / Windows Server操作系统包含用于在组织中基于令牌/智能卡实施两因素身份验证的所有必需软件,也就是说,您不必购买其他软件,并且每个员工都需要
发出令牌 。
应该注意的是,使用通过SMS接收到的确认码不是两因素身份验证的要素,而是
两步验证,并且提供了
更弱的防止黑客入侵的保护。 例如,诈骗者已经学会了
伪造SIM卡 ,这使他们可以截获SMS和服务消息,从而窃取金钱和信息。
在某些情况下,移动运营商过于信任或不诚实的员工
会提供对SIM卡的访问权限 。
这是最近在哈布雷(Habré )上
发表的文章 ,作者在其中演示了哪个操作员的代表同意与所谓的“薄脆饼干”见面,而哪个代表拒绝了。
此外,当人们经过一番说服之后,通过将SMS发出的代码告知诈骗者自己来帮助他们,您也不应忘记网络钓鱼。 最重要的是,通常通过公共网络将SMS代码发送到服务器,即传输介质不受信任。 是的,运行时环境也不受信任-恶意软件可以存在于智能手机中,该智能手机会立即将发送的代码发送给攻击者。
近来,建议使用PUSH通知代替通过SMS发送代码。 据称它们更安全,但事实并非如此,因为所有通知在到达用户设备之前都要经过推送通知服务。 并且,例如,由于此类通知的不安全性,Apple Developer Program直接禁止(许可协议,附录1,第4款)这些行为。 这篇
高度明智的文章描述了细节。
因此,有两种因素的身份验证技术,可以以最小的成本(金钱和时间),有效地保护用户免遭密码盗用,并因此防止其雇主丢失信息和其他安全问题。
但是由于某种原因,该技术仅在信息安全领域中相对少数的受保护最先进的公司中引入。 剩下的还等什么呢? 不必担心其IT基础架构的安全性,也可以不考虑威胁的严重性? 您是否可以确定引入其他安全措施将导致用户工作条件的恶化和/或效率降低?
为了理解这一点,我们决定采用古老的行之有效的
方法 -提出应对2FA负责的角色,并在描述其行为特征的过程中尝试穿上鞋子(或者像美国人所说
的那样穿上鞋子 )。 如果这样的方法可以设计新产品,那么为什么在分析(不)使用经过时间考验的技术的原因上不那么有效呢?
我们创建了四个角色:两个大中型公司的两名董事和两名IT部门负责人。 他们为每个人写了自己的故事。 这是第一个。
费多
公司介绍
炼油厂FlyTech,它是大型储油FlyOil的一部分。 总共有超过三千人在炼油厂工作,但是大约一千人与计算机技术相关。 这些都是辅助部门(经理,簿记,物流,销售服务,市场营销),以及通过Microsoft Windows终端使用自动化过程控制系统(自动化过程控制系统-石油产品生产)的生产工人。
职位名称
IT部门主管。 他带领一个由10人组成的团队。
负责什么
用于企业IT基础架构的性能。 粗略地说,这样就没有人抱怨任何事情。
- Fedor知道员工的IT技能低下会导致PC崩溃。 他组织了一项技术支持服务,处理类似的小问题。
- Fedor知道设备已经老化并且可能会发生故障,从而使员工,部门或整个工厂的工作无法进行。 因此,他组织了一个储备金,以备不时之需,并制定了紧急更换政策,包括程序和责任人。
- Fedor知道,由于黑客攻击,硬件故障,火灾,洪灾等,数据可能会被损坏。 他组织了数据备份的创建,并规定了发生故障时数据恢复的策略。
- Fedor知道服务器软件崩溃会危及办公室工作或生产。 因此,他使用在线故障排除方法和规定的策略来恢复服务器软件的正常运行时间。
- Fedor害怕病毒。 他知道他们可以感染员工的计算机或ICS系统。 因此,他购买并安装了防病毒软件并将其配置为定期更新。
- Fedor担心网络黑客,因此他使用入侵检测和防御工具以及其他网络安全工具。
这六个要点有什么共同点? Fedor理解,如果在上述框架内发生了某些事情,那么他们会问他。 有时是出于原因(病毒,如果它们在网络上不受控制地传播),有时是出于后果(恢复期间缺少备份)。
什么不负责
- 尽管它具有IT资源,但它属于其他管理人员的责任范围。 例如,如果自动控制系统操作员的终端发生故障,则Fedor对此负责。 如果自动化过程控制系统的操作员输入了错误的命令,则将成为制造商的问题。 根据他们的命令,Fedor可以发出命令来修改自动化过程控制系统的软件,以便他识别出不正确的命令并且不允许它们执行。 但是TK将由生产工人编写,Fedor将仅作为中介,负责实施和无故障运行。 与该主题更接近的示例是,如果合法拥有在企业IT基础结构中工作的权利的员工试图将其用于破坏性行为,或希望将公司信息用于个人目的,则Fedor仅在给予了比目前,员工必须履行其职责。 否则,这将是安全服务和员工的直接主管的问题。
- 为实施风险接受管理者。 捍卫一切还是太昂贵是不可能的。 例如,如果管理层决定由于服务器机房的位置或保护原因而导致火灾或洪水完全导致服务器完全丢失,则不会为备用服务器分配任何资金。 如果出现问题,管理层将已经承担了责任。
但是! 如果Fedor提前告知管理层有关这些风险的话,这就是事实。 事实是,高层管理人员很少是IT专家,因此他们甚至都无法猜测会发生多少坏事。 因此,如果发生某些情况,但顶部不知道,Fedor将被宣布有罪。 因此,他试图警告可能存在的问题,但是在此之后,做出决定的责任就移到了最高处。
专业的世界观
费多在履行职责和防御自己认为可能或自己曾遇到的威胁方面存在足够的问题和担忧。 他还了解到安全系统的制造商将重点放在其产品的销售上,因此,他们对尽可能地恐吓感兴趣-提出新的威胁并夸大了现有威胁的可能性和重要性。 因此,Fedor通常会对有关新威胁以及如何解决这些威胁的故事持怀疑态度。
对于Fedor来说,相信新一轮技术开发或黑客为黑客开辟新漏洞所带来的新威胁要比他理论上可能会遇到但从未遇到的长期威胁容易。
当Fedor了解到自己相信的新威胁时,他会编写一个简单的保护计划以防范该威胁,并指出为此需要哪些资源(人员,软件,硬件)。 该计划被提出来。 如果高层同意分配适当的资源,则在炼油厂引入针对特定威胁的防护措施。但是由于高层不是IT专业人员,因此同意实施计划通常取决于Fedor的正确提交。 这取决于他是否真的想对这种威胁实施保护,或者如果威胁确实是真实的并且不接受阻止它的计划,他是否想将潜在责任转移到最高处。
目前对2FA的态度
一直以来,Fedor从未面临过密码盗窃的严重后果。 他准备承认一些员工可以知道其他人的密码,甚至偷偷听到过几次员工讨论密码的方式。 Fedor甚至意识到,员工会从他人的帐户转移密码,禁止会话或进行工作。 但是,在他看来,这并不会也不会导致任何严重的漏洞,更不用说黑客入侵或破坏了。 他准备承认存在因果关系,但希望有人向他清楚地表明这种因果关系。 除非有明确的先例或被强迫,否则他不会考虑2FA。
根据Fedor所说,安全服务负责防止泄漏(IT部门只能提供必要的技术手段)。 最后,即使IT提供根据安全理事会命令安装的视频监控摄像机,IT也不会强迫IT监视办公室中纸质文件和铁钥匙的存储。
Fedor认为公司制定了政策,要求员工安全存储员工自己签名的密码。 如果发生了某些事情,那么特定的人将因其粗心而受到惩罚。 并监督让安全理事会执行政策。 然而,在这里,人们不能不注意到理论经常与实践背道而驰。 即使一个特别重要或受尊敬的员工即使在额头上写了一个密码也不会被触碰,而无权的低级员工也不在乎,因为他没有什么可失去的。 只有使用技术手段才能使所有人平等。
Fedor真正担心的唯一区域是系统管理员的密码安全性。 因为如果有人代表系统管理员并以其广泛的权利损害IT基础架构,那么将不可避免地要进行认真的调查,不仅可以将粗心的系统管理员分配给肇事者,而且还可以根据损坏的严重程度来分配费多尔本人。
那么,结论在哪里? 他们还没有,因为超出了本文的范围,还有另外三个角色的故事-Fedor的直接负责人,炼油厂的总经理,IT部门的负责人和物流业务的所有者。 很快我们将告诉您他们对两因素身份验证的看法。
同时,我真的很想知道您对2FA的看法-包括免费评论形式和对调查的答复形式。 您觉得这个话题相关吗? 从您的角度来看威胁是真的吗?
企业是否应该花钱实施2FA?顺便说一句-您是否在Fedor中认出自己,或者您的老板/同事看起来像他?也许我们弄错了,相似的人物有完全不同的兴趣?