【兵臨城下】系列公開課是盛邦安全基於多年攻防實戰經驗,針對重保及攻防演習等場景而推出的系列直播活動,將從資產暴露面梳理、攻擊面管理、脆弱性自查、安全防線加固、協同聯動防禦以及攻擊溯源、應急響應等全流程進行梳理,陸續上線十幾場的直播分享活動,大家可以關注【盛邦安全影片號】提前預約直播活動。
本期公開課的主題是“如何應對老大難的弱口令問題”,小編梳理了實錄文字供大家參考。
大家好,我是檢測產品線產品經理趙東東,今天我給大家分享的是如何應對“老大難”的弱口令問題。在這裡面我會從攻防演習中弱口令的現狀及如何應對“老大難”弱口令和注意事項這幾個方面展開分享。
事實上,弱口令問題一直是網路安全中的“老大難”問題。尤其是近兩年,隨著企業數字化轉型的推進,業務應用與網際網路互動不斷深入,大量重要資料與資訊都儲存、流轉於業務系統內,成為被駭客覬覦的焦點之一。
目前,弱口令除了在網際網路上造成的大量資訊洩露、內網滲透、勒索病毒、挖礦木馬等安全問題外,在攻防演習過程中也可以看到,弱口令也是利用率最高的攻擊手段之一,在常用攻擊手法中佔比接近30%,僅次於0day漏洞。
如今,隨著物聯網與雲端計算等技術的發展和應用,企業資訊化程式不斷深入,從傳統資產轉變的數字資產越來越多,資產的賬號密碼問題愈發凸顯。而弱口令本身就是一種攻擊成本非常低的攻擊方法,很容易導致資料洩露、勒索病毒、挖礦木馬等一系列安全問題。據調研資料顯示,網際網路上因弱口令引發的網路安全事件佔比高達70%以上。國家網際網路應急中心在針對勒索病毒給出的官方防範措施中,也將使用強口令及不同裝置使用不同口令作為首要建議。
弱口令目前沒有標準或權威的定義,若從漏洞角度來看,弱口令應該是屬於邏輯漏洞,它主要與個人習慣及安全意識相關。為了避免忘記密碼,人們經常使用一個容易記住或自己熟悉的密碼,甚至直接採用系統的預設密碼。
我們把密碼比作家門鑰匙的話,那預設密碼就相當於把鑰匙插門上,誰來了都能開門而入;簡單口令就相當於把鑰匙放門框上或放地毯下,簡單找找就能發現鑰匙,同樣開門而入。所以弱口令的存在使得外部的安全防護裝置形同虛設,導致網路和系統中的重要資料、敏感資訊檔案等都將暴露在駭客面前。駭客能夠輕而易舉地登堂入室,執行該賬號所擁有許可權下的所有動作。
在攻防演習中,攻擊方常用弱口令型別包含以下六種:空口令、預設口令、簡單口令、網上已經洩密口令、適當組合變化口令以及個人或組織的習慣口令。針對“老大難”的弱口令問題,作為防守方我們該如何發現、如何解決呢?
傳統的一些檢測方法通常都是依據口令字典進行爆破,因為字典的侷限性,只能爆破猜解空口令、簡單口令及適當組合變化的弱口令口令,無法針對裝置或業務系統預設管理口令、網上洩露的口令以及個人或組織習慣的口令進行猜解。且傳統的口令檢測手段單一,僅支援基於協議的口令也就是常見服務及資料庫口令的猜解,無法針對某個廠商具體型號的裝置及業務系統進行檢測。同時因為字典相對固定,缺乏自動化生成口令字典的能力,無法基於使用者特定場景自動化構造專屬口令字典。
為此我們梳理了一套完整有效的弱口令排查流程,一共7個步驟,目標確定、策略制定、字典構成、檢測執行、結果分析與核驗、弱口令修復以及弱口令複測。
我們先來看第一步目標確定。在進行弱口令檢測之前,首先要明確掃描資產範圍,也就是確定可以進行檢測的資產IP範圍,資產網路區域、資產埠、服務等資訊;其次,基於這些目標來梳理資產清單,確定資產型別,目的是可以根據資產清單針對性構造字典,提高檢測準確率及效率。最後,將資產資訊按照相同檢測維度劃分資產組。這裡的資產組劃分沒有固定標準,比如可以按照是否週期性檢測劃分,也可以按照業務重要性劃分,還可以按照資產型別劃分。
目標確定後緊接著就需要制定檢測策略。為了提升檢測準確性和檢測效率,那就需要針對不同資產目標下發不同配置的檢測任務。這裡需要確定的檢測策略項包括掃描時間、掃描範圍、掃描方式和掃描依賴等。可依據可用於檢測的頻寬大小、網路區域的劃分情況,業務系統的重要程度以及業務繁忙時期等因素,配置針對性檢測策略。
例如,需要確保檢測所用頻寬不得影響業務執行,那就可選擇非業務繁忙時期,或者降低併發、進行慢速檢測等方式避免影響業務執行;針對重點業務系統也可在夜間進行檢測;甚至對於關鍵敏感業務系統新增例外不進行檢測,轉為人工核驗;針對有網路區間邏輯劃分的可臨時放開訪問控制及防護鎖定策略等。總之,針對不同的資產目標,需要針對性制定檢測策略,從而提升檢測準確率和效率。
當完成策略制定後,就需要依據目標和策略構造專屬口令字典。傳統的字典相對固定,無法動態調整,字典小了導致弱口令檢測不到,字典大了導致檢測時間過長。攻擊方常用的字典型別包含空口令、預設口令、簡單口令、組合口令、網上洩露口令和個人或組織習慣口令。因此我們構造的檢測字典型別也應包含這6類。
為了規避傳統檢測手段單一的問題,在檢測時,字典內容中除了傳統的協議口令外,還需要可針對裝置和應用直接進行檢測的字典,比如交換路由裝置、網路安全裝置、OA系統、攝像頭的字典。同時要對web應用進行弱口令檢測,字典就需要匹配web入口,從而提升檢測效率又保證了字典的完整性。
除了字典內容需要針對性構造外,字典的模式也需要針對性構造。現有的字典模式分為組合模式和標準模式,組合模式是指賬號與口令一一對應,這種模式下,賬號與口令的關係非常明確,在賬號密碼不多的環境下使用此模式字典,檢測效率會很高。另一種標準模式是指賬號庫與口令可以自由組合,適用於多種場景,相對而言,檢測耗時較長。在檢測時,需要根據檢測目標及場景針對性選擇字典模式。
不同場景下的字典如何構造呢?我們透過模擬社工場景,使用弱口令檢測系統的字典生成功能,可基於場景關鍵詞生成所需字典。例如針對集權系統的管理員賬號、網路安全裝置、網路裝置、個人終端等環境,可使用一對多的字典模式,這些裝置的賬號名相對固定,可針對場景生成對應密碼字典,進行一對多組合檢測。對於同一單位的OA系統、郵件伺服器、堡壘機、VPV等業務系統,可透過匯入通訊錄方式自動生成賬號字典,開展多對一的組合檢測;對於業務系統、web應用等可進行多對多的組合檢測。
針對場景的字典構造完成後,就可以開展檢測任務了。但一個單位內,往往存在著口令重複使用的問題,因此在檢測時,除了使用構造的動態應用字典外,還需要將檢測成功的口令橫向爆破,發現單位內口令重複使用的問題。
我們知道弱口令檢測不一定能100%發現所有弱口令,因此需要對檢測結果進行分析核驗。透過分析識別到的資產指紋資訊,調整任務檢測策略,更新字典庫,重新下發檢測任務,從而獲取全面完整準確的檢測結果。
檢測完成後,就需要對檢測到的弱口令進行修復。弱口令問題主要還是人員安全意識不足的問題,所以除了使用強密碼策略外,最重要的還是要加強人員安全意識。強密碼策略這裡儘可能做到使用多字元組合的強密碼,不要關聯人員資訊,如姓名拼寫、簡寫等;堅決不能使用預設賬號密碼;避免一個密碼多處使用,避免部門或單位內使用同一密碼;建議定期更換密碼並使用多因素身份驗證。
密碼修復後,可透過週期性任務或專項弱口令複測任務跟進弱口令整改情況,這裡透過系統的弱口令變化趨勢可直觀檢測弱口令的整改情況。
點選瞭解更多