国外安全网站安全周刊有一篇文章《密码依赖:如何打破循环》,对我们去理解密码的作用以及安全隐患,或许有些帮助,今天整理过来和大家一起分享,仅供参考!
在过去的几年里,世界已经学到了无数的人生课程,但很明显,在安全方面,仍有数百万人没有学到最基本的知识之一。来自NordPass的报告据透露,数以百万计的人仍然没有改掉使用易于记忆但易于破解的密码的习惯。在 200 个最常用的密码中,“密码”位居第一,但不幸的是,对于超过 400 万使用它的人来说,它可以在不到一秒钟的时间内被破解。其他流行的密码包括“guest”和极具创意的“123456”。说到违规,条条大路仍然通向身份认证。获取认证信息后,黑客不再侵入,他们使用被盗的、弱的、默认的或以其他方式泄露的凭据登录。这就是打破密码依赖循环如此重要的原因。但如何做到这一点?
通常,黑客会寻找阻力最小的路径,并瞄准网络防御链中最薄弱的环节——人类。因此,当今的大多数数据泄露都是以凭据收集活动为前端,然后是撞库攻击。一旦进入,黑客就可以散开并在网络中横向移动,寻找特权账户和凭据,帮助他们访问组织最关键的基础设施和敏感数据。事实上,身份定义安全联盟 (IDSA) 的一项研究表明,基于凭据的数据泄露无处不在(94% 的调查受访者经历过与身份相关的攻击)并且高度可预防 (99%)。当今的经济环境加剧了这些网络风险,而新冠疫情的影响导致数字化转型和技术变革加速,这将进一步对组织对密码的依赖性进行压力测试。这在最小化传统数据中心、云和 DevOps 环境中与访问相关的风险方面带来了新的挑战。因此,在授予对有价值数据和关键系统的访问权限时,组织需要超越用户名和密码。虽然员工教育和培训可以提供帮助,但还需要额外的措施来确保安全访问……这正是零信任网络访问 (ZTNA)提供的。
ZTNA 解决方案围绕一个或一组应用程序创建基于身份和上下文的逻辑访问边界。根据广泛的因素授予用户访问权限,例如,正在使用的设备,以及其他属性,例如设备状态(例如,是否存在反恶意软件并且正在运行)、访问时间/日期请求和地理位置。在评估上下文属性后,解决方案会在特定时间动态提供适当的访问级别。由于用户、设备和应用程序的风险级别不断变化,因此针对每个单独的访问请求做出访问决策。
成功路线图
在实施像 ZTNA 这样的新兴技术时,倾听早期采用者的意见始终很重要,他们可以提供对成功关键因素的见解并帮助避免陷阱。最近采用 ZTNA 的组织报告称,以下关键因素对其成功至关重要:
在 ZTNA 实施之前评估应用程序使用情况:由于做出访问决策的上下文属性之一是用户和应用程序之间的关系,因此在实施过程之前深入了解应用程序使用情况至关重要。为了协助这一发现过程,ZTNA 的一些早期采用者报告说,他们利用端点可见性解决方案来深入了解已安装应用程序和 Web 应用程序的使用情况。其他人只是采访特定部门(例如,销售、财务、人力资源)的负责人以收集详细信息。这些见解随后用于将用户映射到所需的应用程序访问权限,并最终影响策略的范围。
定义细化访问策略:不要像对待传统 VPN 那样对待 ZTNA,即授予用户访问所有应用程序的权限。相反,花一些时间制定从识别特定用例(例如,承包商访问、对高度敏感的应用程序的访问)中得出的细化访问策略,并定义特定于用户的策略。
取消常设应用程序授权:作为 ZTNA 项目推出的一部分,根据对应用程序使用情况的评估,借此机会清理应用程序访问权限。
建立持续反馈循环:随着业务需求不断发展,您的应用程序访问策略也应如此。因此,有必要不断地微调既定的访问策略。许多 ZTNA 政策的早期采用者建议在实施过程的初始阶段进行季度审计/审查流程,然后在 ZTNA 计划成熟后转为每两年一次的流程。最终,希望建立一种专注于持续改进和完善访问策略的心态。
确保用户和业务领导者的支持:与所有技术实施一样,确保尽早获得业务领导者和用户的支持至关重要。例如,将用户焦点小组作为初始规划过程的一部分是一个很好的策略。这些参与者有助于尝试风暴并提供早期输入,并在进入实施阶段之前提出对用户体验的任何担忧。这通过避免其他必要的迭代轮次来节省成本,并有助于提高整体采用率。
选择同类最佳解决方案:评估 ZTNA 产品的弹性能力,这意味着在中断、无意衰退或对其运营至关重要的恶意行为中发挥作用。评估解决方案是否能够深入了解组织内的所有端点、数据、网络和应用程序。考虑符合美国国家标准与技术研究院(NIST) 零信任架构的 ZTNA 解决方案,策略执行应尽可能靠近用户,这意味着它们应直接在端点执行。
虽然有多种途径可以打破对密码的依赖,但 ZTNA 允许组织最大限度地减少攻击面,同时确保其远程员工的工作效率。
>>>供应链安全<<<
>>>其他<<<
联系客服