【TechTarget中国原创】企业认证和准入管理失误在整个行业领域内都存在。多年来,该行业经历了诸多失误:从将记有密码的便签贴在显示器上暴露密码,到配制错误导致的公司网络向恶意访问敞开,甚至更糟糕。
用户和系统管理员在IAM系统上,都存在各种各样类似的失误和错误;不仅在滥用系统方面,而且也在错误配置和设定系统方面。我们来看看这些糟糕的做法,并探讨一下如何将其变为最佳实践。
落后的密码管理方式
这是所谓的“可粘贴便签”问题。有一些记不住密码的用户,不想记住密码,或者认为将密码写在一个很容易看见的地方,最为方便。比如众所周知的将记有密码的便签贴在显示器上,或者将密码记在随处可见的便条纸上。甚至还有这样一个城市传奇:将密码写在桌子正对的天花板上。
为什么尽管反复告诫不要这样做,员工仍然要把密码写下来?关于这样的情况,人们收集到的信息太多了。员工必须记住的密码数量和他们记下密码的可能性之间有直接的联系。随着要求认证的应用程序的增加,将密码写在可粘贴便签上或其它地方的可能性也在增加。
要解决密码数量越来越多的问题,需要使用许多大型IT厂商提供的产品,比如IBM、Sun Microsystems公司和CA公司。另一种受到欢迎的产品是Passlogix公司的V-Go,而对于Web SSO(单点登陆)而言,Microsoft Passport是一种不错的选择。
另一种常见的密码失误是不能定期更改密码。密码就像食品一样,时间太久了就会过期和发霉,而这种过期的密码正是黑客所寻找的。这个问题也有一个简单的解决办法:以每个系统的风险情况为基础,每隔60到90天修改一次密码。密码寿命与风险成反比。对于含有高风险数据或关键任务功能的系统,密码寿命应该更短。
与此相同,另一种失误是ghost密码——已经离职很久的员工仍然经常使用其认证证书。这些认证证书,深受那些不再服务于该公司的,而心怀不满的员工的欢迎。这不仅是落后的认证做法,同时也与规定和行业标准相抵触,比如萨班斯—奥克斯利法案(SOX法案)、健康保险携带和责任法案( HIPAA )、以及信用卡行业制定的支付卡行业数据安全标准(PCI DSS)。
用户帐户应当定期进行审核,检查不活跃的用户、升级特权和小组成员。这些用户往往会改变工作并获得不同的任务。如果员工不再使用某个特定的系统,他或她准入资格力应予以撤销,而只有当员工正作新工作时,应予以准许进入新的工作系统。如果不经常检查那些老员工的准入资格,他们可能往往会得到"准入蠕变" ,进入到比实际需要更多得系统中。
此外,每位员工应该有自己独特的用户名和密码。如果有人出于恶意,使用共享访问进入工作站,事故应急小组将没有办法确定哪些用户应该对此负责。不管应用程序多么小,用户的数量多么少,工作站多么的独立,每个用户都必须有一个特定的证书。
电脑不加密
与可粘贴性便签问题密切相关的问题是无人看管,没有加密的电脑。在这种情况下,用户满心喜悦地离开办公桌去参加会议或处理办公事务,开着电脑桌面,任何路过的人都可以看到其桌面。对于带有恶意的内部工作人员来说,登录用户名就是危害的真正来源,因为他或她能匿名使用其他人开放的工作站。
解决这一问题的方法相当简单,而且很容易就可以建立在公司工作站的标准桌面上。带有密码保护的屏幕保护可以设置为在预先设定的一段时间过后,自动上锁,这样即使是那些最心不在焉的员工的桌面也可以得到保护。
未经检验的开发者和管理员访问
另一种常见的错误是,准许开发者进入产品系统。尽管在许多公司的IT安全标准中都明确指明不要这样做,但很少有公司执行这条规定。而有些时候,某个产品应用程序出现问题,开发者就需要进入系统解决问题。在此我建议当开发者解决问题时,给他们临时准入资格。问题解决之后,吊销准入资格,并关闭临时帐户。
此外,还有大量的IAM的错误是来自于系统管理员。只要进行设备配置,就应该立即更改路由器上默认的密码和其他网络设备。普通设备上的默认密码列表遍布整个Web——黑客知道在哪里能找到它们,并使用这些密码。这往往是恶意用户为了进入网络所进行的第一个“试验”。
其次是滥用多因素认证。包括共享智能卡或一次密码(OTP)设备。这无异于刚才所描述的共用密码的例子。由于带有普通用户名和密码系统,因此对于智能卡和一次密码设备,应当在硬件上审核用户帐户和其活动。
服务台的工作人员应参加关于社会工程策略方面的培训,并应当利用书面程序,来核实那些要求重置密码的员工们。社会工程师利用大公司中的匿名者,来装作合法员工并偷窃认证证书。对合法用户基本资料中的任意数据——比如生日、头衔、地址、主管人姓名——进行快速检查,就可以防止这些策略。
各个层面都存在准入管理失误,用户、管理员 、IT工作人员甚至服务台都会出现失误。但如果稍加思考和规划,这些问题就能够得到解决,确保公司安全。