信息化觀察網(wǎng)

本文來(lái)自安全牛。

很多時(shí)候，未經(jīng)授權(quán)的用戶在訪問(wèn)企業(yè)的敏感數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)時(shí)，并不會(huì)被企業(yè)所重視，只有在發(fā)生安全事故后，企業(yè)才會(huì)意識(shí)到這種被忽略的“日常行為”存在多大的隱患。因此，企業(yè)應(yīng)該對(duì)未授權(quán)訪問(wèn)行為進(jìn)行嚴(yán)格管控，建立一套可靠的管理流程，以檢測(cè)、限制和防止未授權(quán)訪問(wèn)事件的發(fā)生。

簡(jiǎn)而言之，當(dāng)攻擊者擅自訪問(wèn)企業(yè)組織的網(wǎng)絡(luò)時(shí)，就會(huì)發(fā)生未授權(quán)訪問(wèn)，其訪問(wèn)對(duì)象包括數(shù)據(jù)庫(kù)、設(shè)備端點(diǎn)或應(yīng)用程序環(huán)境等。

未授權(quán)訪問(wèn)不僅只針對(duì)企業(yè)系統(tǒng)，也可能針對(duì)個(gè)人用戶。比如，他人未經(jīng)許可使用用戶的私人手機(jī)就是未授權(quán)訪問(wèn)，這種對(duì)個(gè)人用戶進(jìn)行擅自訪問(wèn)的手法有多種，會(huì)造成各種嚴(yán)重后果，如數(shù)據(jù)泄露、財(cái)務(wù)損失、服務(wù)不可用（DDoS攻擊）或者對(duì)整個(gè)網(wǎng)絡(luò)失去控制（勒索軟件攻擊）等。

攻擊者只需發(fā)現(xiàn)其訪問(wèn)目標(biāo)敏感位置的薄弱環(huán)節(jié)如安全漏洞、未受保護(hù)的端點(diǎn)或密碼撞庫(kù)等，就可以通過(guò)多種方式實(shí)施未授權(quán)訪問(wèn)攻擊。

攻擊者一旦訪問(wèn)了企業(yè)系統(tǒng)中的一個(gè)敏感區(qū)域，就有可能不受限制地繼續(xù)訪問(wèn)其他位置。例如，如果他們找到了企業(yè)敏感系統(tǒng)的密碼，那利用這個(gè)賬戶密碼就可以將攻擊范圍擴(kuò)大到整個(gè)企業(yè)網(wǎng)絡(luò)。類似地，上傳惡意文檔或運(yùn)行惡意軟件也是攻擊者利用訪問(wèn)權(quán)限趁虛而入的慣用手段。

為了幫助企業(yè)組織進(jìn)一步避免未授權(quán)網(wǎng)絡(luò)訪問(wèn)行為，規(guī)避潛在的安全風(fēng)險(xiǎn)，本文匯總了針對(duì)未授權(quán)網(wǎng)絡(luò)訪問(wèn)管理的十大安全措施，以下為具體內(nèi)容：

1

加強(qiáng)設(shè)備的物理安全

如果攻擊者獲得了企業(yè)內(nèi)部敏感系統(tǒng)的物理訪問(wèn)權(quán)，那企業(yè)組織的技術(shù)安全措施將形同虛設(shè)。因此企業(yè)要盡量保證內(nèi)部計(jì)算機(jī)或其他設(shè)備處于密碼鎖定的狀態(tài)，而且企業(yè)組織不應(yīng)該在辦公室或上述相關(guān)系統(tǒng)旁公示登錄密碼。此外，對(duì)于敏感文件要定制高級(jí)訪問(wèn)權(quán)限，因?yàn)閷?duì)所有設(shè)備嚴(yán)加看管是防止未授權(quán)訪問(wèn)的關(guān)鍵。

2

設(shè)置強(qiáng)密碼

密碼破解工具愈發(fā)智能化，密碼泄露也愈發(fā)常見(jiàn)，因此設(shè)置獨(dú)特的強(qiáng)密碼很重要。重復(fù)使用密碼、使用已知密碼或很容易被猜到的單詞、短語(yǔ)來(lái)作為密碼存在很多風(fēng)險(xiǎn)。例如，“admin/admin”是許多組織最常用的用戶名和密碼組合，這種常見(jiàn)的密碼存在很大風(fēng)險(xiǎn)。

理想情況下，密碼應(yīng)該是具有獨(dú)特性的長(zhǎng)密碼（至少11個(gè)字符），最好選擇數(shù)字和特殊字符混合的方式。密碼越復(fù)雜，攻擊者獲得未授權(quán)訪問(wèn)所需的時(shí)間就越長(zhǎng)。

3

采用多因素身份驗(yàn)證

除了強(qiáng)密碼外，確保企業(yè)系統(tǒng)賬戶安全的另一個(gè)有效策略是通過(guò)采用多因素身份驗(yàn)證來(lái)加強(qiáng)登錄環(huán)節(jié)的安全。無(wú)論是通過(guò)一次性口令（OTP）、生物特征識(shí)別掃描，還是身份驗(yàn)證器應(yīng)用程序，即使在密碼泄露的情況下，多因素身份驗(yàn)證措施都能進(jìn)一步確保授權(quán)登錄賬號(hào)的安全性。

4

配置強(qiáng)大的防火墻

對(duì)于不斷增加的網(wǎng)絡(luò)威脅，企業(yè)可以選擇配置功能強(qiáng)大的防火墻來(lái)解決安全問(wèn)題并防止惡意攻擊，這些防火墻需要具備保護(hù)企業(yè)網(wǎng)絡(luò)、Web應(yīng)用程序及其他核心組件的功能。企業(yè)組織可以通過(guò)聘請(qǐng)專業(yè)的托管服務(wù)提供商（MSP），來(lái)配置符合自身網(wǎng)絡(luò)安全需求的防火墻。

5

限制用戶對(duì)敏感系統(tǒng)的訪問(wèn)

防止攻擊者未授權(quán)訪問(wèn)企業(yè)系統(tǒng)或設(shè)備的另一個(gè)有效策略是，系統(tǒng)設(shè)立之初就限制授權(quán)訪問(wèn)，要求只有最值得信賴的員工才有權(quán)利訪問(wèn)，這種做法對(duì)于保護(hù)敏感的數(shù)據(jù)庫(kù)和設(shè)備十分有效。

6

采用單點(diǎn)登錄（SSO）

單點(diǎn)登錄（SSO）有助于更有效地管理用戶和IT人員的賬戶。一方面，用戶只需記住一個(gè)密碼即可登錄；另一方面，IT人員可以在必要時(shí)迅速終止異常行為活動(dòng)，進(jìn)而輕松管理賬戶。例如，如果攻擊者冒用員工賬戶被檢測(cè)到后，安全團(tuán)隊(duì)就可以立即停止該賬戶對(duì)其他所有系統(tǒng)的訪問(wèn)行為。

7

運(yùn)用IP白名單

IP白名單與Web應(yīng)用防火墻（WAF）可以讓企業(yè)組織中的合法用戶訪問(wèn)更加便利，在遠(yuǎn)程工作環(huán)境下特別有用，但是對(duì)于使用動(dòng)態(tài)IP、訪問(wèn)代理或VPN的用戶來(lái)說(shuō)行不通。因此，遠(yuǎn)程用戶最好是尋求固定的IP地址，無(wú)論這些IP地址是來(lái)自其自身的ISP，還是來(lái)自VPN/代理服務(wù)提供商。

8

監(jiān)控登錄活動(dòng)

企業(yè)組織應(yīng)該能夠通過(guò)監(jiān)控來(lái)發(fā)現(xiàn)異常的登錄活動(dòng)。例如，組織在部署了監(jiān)控系統(tǒng)之后，就可以及時(shí)發(fā)現(xiàn)企業(yè)系統(tǒng)或設(shè)備中存在的可疑賬戶登錄或異常登錄活動(dòng)，并采取相應(yīng)的補(bǔ)救策略，如撤銷賬戶訪問(wèn)權(quán)限以避免攻擊。

9

定期運(yùn)行漏洞掃描

由于攻擊者總是在不停地伺機(jī)尋找未修補(bǔ)的漏洞，進(jìn)而對(duì)目標(biāo)網(wǎng)絡(luò)實(shí)施未授權(quán)訪問(wèn)。因此，企業(yè)組織應(yīng)定期進(jìn)行漏洞掃描或選擇聘請(qǐng)第三方專業(yè)人員，協(xié)助IT員工管理IT安全。

10

及時(shí)更新應(yīng)用軟件版本

未及時(shí)對(duì)存在漏洞的系統(tǒng)進(jìn)行修補(bǔ)是對(duì)業(yè)務(wù)安全構(gòu)成最大威脅的原因之一，同時(shí)也是最容易被企業(yè)組織忽視的一個(gè)問(wèn)題。Red Cross公司最近遭到網(wǎng)絡(luò)攻擊就是由于未及時(shí)修補(bǔ)的漏洞造成的。因此，企業(yè)組織必須采取有效、強(qiáng)大的補(bǔ)丁管理策略。