企业的安全管理可以说是一个恶性循环。当某种安全违规行为发生时,企业就会增加一个新的安全级别,这无形中就增加了用户在实际工作中的麻烦,进而开始寻求解决这些麻烦问题的解决方法。然后就出现了安全违规行为的一个突破口,这一恶性循环又重新开始了。
“每当我们遭遇到某一安全缺口时,企业IT安全责任部门就会将'安全围栏'增高三英尺,并指望用户来'挑战'这三英尺高的围栏。”位于安大略省的SecureKey Technologies公司首席身份官Andre Boysen表示。
许多用户管理多个站点账户所采用一套应对方法是多站点共用同一密码。这样,一旦其中任何一处站点的密码遭泄露,那么,所有这些账户就可能都受到影响,包括那些与工作相关的账户。
“鉴于我们在密码管理方面的安全状况已然够糟糕的了,而第二大因素使得现状变得更糟。”他说。文本信息、智能手机的应用程序、USB、声音,视频和指纹扫描仪,这些技术的广泛普及,成为了安全管理威胁的第二大因素,使得安全管理工作简直没有尽头,也没有明确的赢家。
“这无疑加剧了用户在实际中的困惑。”他说。
一些企业正在通过减少用户的密码数量来解决这一问题,利用密码管理工具来帮助他们管理他们的密码,并切换到更人性化的第二因素系统,如智能手机应用程序。
如下,是企业可以用以借鉴参考解决相关密码管理问题的五种方法:
1、基于云的密码管理服务
实现单点登录对于一家实施集中管理的企业是足够的。而当试图将其强加在一些自主自治性的部门则几乎是不可能的。
这正是Rotary International公司所面临的密码问题。这家全球性的服务机构拥有120万会员,分属于34000家不同的俱乐部。
由于这些成员俱乐部都是自治的,这样可能在一处俱乐部网站用户有一个登录名和密码,而到另一处区域性的网站又有另一套相关的账户密码,而了国家地域级别的网站又有一套单纯的账户密码,甚至对于移动应用程序和相关配套开发的其他服务,又有一套密码系统。
“这无疑是相当混乱的。” 这家位于伊利诺伊州埃文斯顿的Rotary International公司CIO彼得·马科斯说。
我们所面临的挑战问题是要在整个企业范围内进行安全更新,包括那些实行自主性管理的俱乐部网站。 “这引导我们开始采用云服务。”他说。具体来说,他们选择了Octa,这是一家按需身份和访问管理的服务供应商。
另外,云交付意味着Rotary公司将得到持续的改进。“我们现在可以提供安全即服务。”他说。本地的俱乐部可以发送登录请求到上级组织,其可以作为中央的枢纽连接其所有的俱乐部成员。
“其简化了俱乐部的管理。”他说。“他们无需自行管理自己的用户了,也大大方便了俱乐部的用户成员,使整个企业的资源能够更便捷的在全球范围内访问。”
整个过程中最难的部分是将个别俱乐部纳入到整个企业的用户管理系统。大约8000家俱乐部使用了现成的俱乐部管理软件,现在,整个渠道都能够已经可以 采用安全即服务了。另外1000家左右的俱乐部切换到自己的管理系统。马科斯说,使用率的普及起步慢,但他希望随着技术自身不停的得到验证,并达到临界质 量,其部署采用率将得到逐步提高。“但仍然有很多俱乐部并不愿意放弃他们的控制权。”他补充道。
Rotary公司也正在改变其自身看待密码的方式,不再固定的采用他们曾经的标准的八个字符的密码。
“我们正在寻求摆脱仅仅依靠由特殊字符,大写字母,数字,和增加密码字符长度的方法,而鼓励他们使用一个短语。”他说。“这样的密码长度足够,能够提供足够的密码安全,并解决蛮力型攻击,而我们的成员将更容易记住这种短语型的密码。”
2、现成的密码管理软件
Secure-24公司是一家总部位于底特律的托管企业,服务于汽车业,制造业和医疗保健业等企业。该公司也同样面临着密码管理的问题,他们需要为其客户进行密码管理,而这些客户需要能够确保自己安全地访问他们的系统。
“客户会要求我们为不同的服务器,不同的技术创造密码,但他们又不想让我们知道这些密码,或将其保存或记住这些密码。”该公司的系统工程师Eric Zehnder表示。
为了解决这个问题,Secure-24转向采用Thycotic的秘密服务器企业密码管理软件。该软件为多家企业客户在多个领域提供自动化的密码管理。
不存在密码落入坏人手中的风险。“用户甚至都不知道密码。”Thycotic的企业信息安全架构师凯文琼斯表示。
3、智能手机应用程序的双因素认证
当然,用户在一定程度上也必须进行自身系统的验证。而消除登录总数意味着第一次登录就显得更为重要。
Secure-24采用双因素认证的方法以确保安全识别用户,同时,该公司正在努力以使得这个过程更简单。
在过去,第二因素是典型的密钥:RSA安全ID或Vasco Digipass,取决于客户的偏好。这对于那些将密钥保管在密钥链的企业非常奏效。
“如果没有密钥,他们将如何工作?” Secure-24的Zehnder说。但是有些员工将其拴在他们的工牌吊带上,更容易被忘在家里。
另外,远程办公者可能在工作时没有将密钥随身带着。“我通常会随身带着我的手机,但我不会随身带着密钥。” Zehnder说。
现在,该公司正在逐渐放弃密钥的方法,而采用基于iPhone和Android设备的应用程序。“我注意到仍然有更多的数字密码,这些软件应用程序通常有一串长达八位数的PIN码,而在之前也只有六位字符的密码。”他补充道。
基于手机的系统的成本是相当便宜的,他说。Secure-24过去需要购买大型机架,每台机架的大约100美元。Zehnder说。“所以,曾经有一 家采用我们技术的客户每次当他们的员工丢失了密钥,就会很生气,因为这需要花费昂贵资金来更换。但手机应用程序软件则是免费的,所以其管理成本会比较便宜 一点。”
另外,如果手机丢失,远程禁用应用程序是很容易的,他补充说。而且,现在对于那些智能手机的粉丝来说有更多的好消息。随着iOS系统在2014年9月进行的更新,苹果现在已为第三方开发者开放其Touch ID指纹识别功能了。
“当我开始看到密码应用程序使用您的指纹来生成一个随机密码或随机代码时,我不会感到惊讶。”查尔斯说tendell,安全咨询公司Azorian Cyber Security的创始人Charles Tendell表示。“随着其变得越来越简单,我们将看到其更为广泛的采用。”
这一领域的安全技术发展得很快,安全咨询公司EmeSec的创始人Maria Horton说。Horton曾担任国家海军医疗中心的首席信息官,现在与一些联邦机构的客户合作。
当谈到这项技术的发展时,金融机构的企业会受到重要影响,而政府部门也将成为其中重要的参与者。
两年前,联邦政府层面的主要问题集中在知识共享方面,她说。“但由于身份的访问控制,知识分享是非常困难的。”她说。因此,今年春天,他们发起了一项新的身份认证与管理倡议。
“这还处在期望阶段。”她说,但是联邦政府已经认识到这一个问题,并已开始探索潜在的战略了。
4、从特权用户开始
将整个企业都转换到一个新的密码管理和认证系统可以是非常困难的,尤其是如果要用户改变他们的行为。弗吉尼亚州的安全供应商Xceedium公司首席 战略官Ken Ammon建议企业从他们的特权用户开始。这是一个小的群体,而针对这一群体提高安全性将带来最大的投资回报。
例如,一些公司采用基于角色的访问管理模式,或让多人共享同一个管理员帐户,或允许根用户权限设置。“因此没有办法明确谁执行了什么操作。”他说。
如果一个黑客进入了公司的系统,并获得了这些证书,他们就可以做大量的破坏。
事实上,这正是今年许多企业所遭遇的顶级安全漏洞,包括今年早些时候易趣网所遭遇的黑客攻击致使大约1.45亿用户记录被泄露。
网络攻击者窃取了一小部分数量的员工登录凭据,允许未经授权访问易趣网的客户数据库,易趣网在一份声明中称。
5、用密码口令代替密码
另一个比较简单的方式是不再采用标准的密码形式:即由符号,数字,大写字母所组成的八个字符的密码形式,而让用户有一段长但容易记忆的密码口令。
“基于我们在过去的几年里针对用户所进行的一系列训练,好的密码是那些他们不记得的。” SANS的网络防御课程团队成员Keith Palmgren说。“更长的密码,可以让您轻松地记住:诸如‘i went fishing last saturday night(我上周六晚上去钓鱼了)’就是一个很好的密码,即使全部小写。这样的短语口令不会出现在任何黑客辞典中。如果一家公司想要在这方面进行改进, 但不负担不起迁移到双因素认证的基于令牌或生物认证的系统,他们应该仔细考虑更改密码管理政策,开始改变更现实一点。”
企业可以做的另一件事是为他们的员工提供个人密码管理工具,使他们不会在工作中使用与个人网站相同的密码。
Palmgren使用LastPass。“我有一个网上银行的密码有30个字符长,”他说。“这是高度复杂的,我不需要记住它,因为LastPass可以帮助我记住。”
一些公司已经开始使用企业版本的LastPass,他说。LastPass是一款基于云计算的服务,配合本地台式机或智能手机安装应用程序,处理加密问题。
“唯一储存在我们的服务器上的是加密的点,我们没有密钥。” LastPass的发言人Cid Ferrara说。
目前已经有超过5500家企业使用LastPass了,她说,从中小型企业到财富500强。工作和个人密码是严格分开的,但却有联系的,这样用户就不需要在他们的个人账户和工作LastPass帐户之间进行切换。
公司可以采用一系列双因素认证技术和基于SAML的单点登录系统的组合来使用平台。
其允许企业管理团队成员,例如,谁访问了共享帐户。这些口令共享文件夹是消费者版本和企业服务版本之间的主要差异。
“您企业可能会有一个五人的营销团队,他们都需要分享该认证证书,”她说。“共享文件夹就可以安全地保证他们的访问,而不会丢失任何可跟踪性信息。”