物聯(lián)網(wǎng)設(shè)備的安全性取決于其憑據(jù)的強(qiáng)度。根據(jù)Verizon最新的數(shù)據(jù)泄露調(diào)查報告,憑據(jù)是黑客最搶手的目標(biāo)之一——領(lǐng)先于銀行、醫(yī)療和個人數(shù)據(jù)。當(dāng)您考慮當(dāng)今使用的大量數(shù)字帳戶和連接技術(shù)時,很容易理解為什么不法分子會發(fā)現(xiàn)憑證如此吸引人。更難理解的是,為什么公司繼續(xù)成為基于憑證的攻擊的受害者。隨著物聯(lián)網(wǎng)設(shè)備和系統(tǒng)變得越來越復(fù)雜,組織必須采取行動來彌補(bǔ)這一關(guān)鍵漏洞。了解并解決以下主要的憑證安全挑戰(zhàn)是第一步。
默認(rèn)密碼
到2029年,Gartner公司預(yù)計將有超過150億臺物聯(lián)網(wǎng)設(shè)備連接到企業(yè)基礎(chǔ)設(shè)施。雖然這種趨勢帶來了許多業(yè)務(wù)優(yōu)勢,但也帶來了新的與憑證相關(guān)的安全挑戰(zhàn)。直到最近,許多連接的設(shè)備都標(biāo)配了默認(rèn)密碼。2019年發(fā)貨的600,000臺GPS追蹤器就是這種情況,默認(rèn)密碼為123456。這種糟糕的安全做法使客戶處于危險的境地,讓黑客可以輕松地監(jiān)視用戶、欺騙追蹤器的位置或攔截緊急情況打電話給家人或當(dāng)局。此外,使用默認(rèn)密碼也為制造商帶來了漏洞——例如,不法分子可能會劫持帳戶、更改密碼和鎖定客戶,從而導(dǎo)致客戶支持和經(jīng)銷商漏洞。
盡管隨著加利福尼亞州物聯(lián)網(wǎng)法的出臺,這一趨勢已經(jīng)開始改變,但在部署物聯(lián)網(wǎng)技術(shù)之前更新憑證仍然是一種很好的安全做法。此外,如果檢測到任何入侵跡象,公司必須持續(xù)監(jiān)控物聯(lián)網(wǎng)憑證的完整性,并采取自動響應(yīng)措施。
糟糕的密碼實踐
憑證安全的另一個主要驅(qū)動因素是人們眾所周知的糟糕的密碼習(xí)慣。面對管理眾多在線帳戶和服務(wù)的憑據(jù)時,員工通常會創(chuàng)建簡單易記的密碼。此外,人們經(jīng)常在多個帳戶中重復(fù)使用相同的密碼或相同詞根的細(xì)微變化——例如,“P@ssword1”和“P@$$word1”。
這不是僅在入門級員工或在非技術(shù)領(lǐng)域工作的員工中會發(fā)現(xiàn)的問題。在最近的一項調(diào)查中,近四分之一的IT安全領(lǐng)導(dǎo)者承認(rèn)在工作和個人站點(diǎn)上使用相同的密碼。如果這些憑據(jù)中的任何一個在先前的違規(guī)行為中被暴露,就類似于為黑客推出歡迎墊。這些不法分子可以通過暗網(wǎng)、破解字典和其他來源訪問大量已泄露密碼;他們使用它們滲透物聯(lián)網(wǎng)設(shè)備和企業(yè)系統(tǒng)只是時間問題。
新興的認(rèn)證機(jī)制
另一個憑據(jù)安全挑戰(zhàn)是了解各種新興身份驗證機(jī)制的局限性,以確定使用哪些機(jī)制以及如何最好地部署它們。
◆ 多重身份驗證:MFA依賴額外的身份驗證因素來授予對帳戶的訪問權(quán)限,例如,將密碼與SMS文本消息代碼結(jié)合使用。從安全角度來看,MFA可能相對強(qiáng)大,具體取決于所使用的因素,但是,用戶通常會發(fā)現(xiàn)它很麻煩,并且在給定選項時不會主動啟用它。例如,微軟報告其企業(yè)云用戶中MFA的采用率僅為11%。
◆ 自適應(yīng)身份驗證:自適應(yīng)身份驗證交叉引用IP地址、地理位置、設(shè)備信譽(yù)和其他行為,從而為入站登錄和相應(yīng)的升級因素分配風(fēng)險評分。由于這些系統(tǒng)通常會積極調(diào)整以提高效率,因此它們通常會在不需要的情況下引入額外的身份驗證步驟——讓員工感到沮喪。
◆ 生物特征認(rèn)證:生物特征被吹捧為憑證安全的靈丹妙藥,但我們不太可能在不久的將來看到廣泛采用生物特征。此外,當(dāng)系統(tǒng)出現(xiàn)故障或變得不可用時,生物識別系統(tǒng)仍然使用基于后備密碼的機(jī)制。最后,生物識別技術(shù)也帶來了自身的安全挑戰(zhàn)。畢竟,員工無法更新他們的視網(wǎng)膜或指紋。
保護(hù)密碼層
正如上面所強(qiáng)調(diào)的,當(dāng)談到物聯(lián)網(wǎng)憑證安全時,密碼層的安全是無可替代的。MFA和其他身份驗證策略當(dāng)然有其一席之地,但除非公司能夠處理密碼安全問題,否則它們將繼續(xù)成為攻擊的受害者。那么,組織應(yīng)該怎么做?
最具成本效益的方法之一是實施自動憑據(jù)篩選,在創(chuàng)建新密碼時和每天檢查密碼是否已泄露。這減輕了員工創(chuàng)建過于復(fù)雜密碼的責(zé)任,并幫助公司在不消耗大量IT資源的情況下消除密碼泄露的威脅。
員工可能是創(chuàng)建密碼的人,但憑證安全的責(zé)任最終在于組織。不良行為者將繼續(xù)將憑據(jù)作為攻擊手段,但通過正確的動態(tài)憑據(jù)篩選解決方案,公司可以保護(hù)密碼和敏感數(shù)據(jù),同時成功抵御這些嘗試。
來源: 360機(jī)房