En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>UEBA> 國家安全部在線提示:弱口令,高風險,速修改!

國家安全部在線提示:弱口令,高風險,速修改!

文章

2024-08-29瀏覽次數(shù):437

近日,國家安全部發(fā)布了一篇主題為《弱口令,高風險,速修改!》的文章。文章中提到國家安全機關工作發(fā)現(xiàn)的3起因弱口令引起的企業(yè)客戶隱私數(shù)據(jù)泄露、公司郵件數(shù)據(jù)泄露,以及危害國家安全風險事件。

 

對此,國家安全機關再次提示:數(shù)字化時代,有關單位和個人應提高信息安全意識,履行網(wǎng)絡安全義務,增強網(wǎng)絡防護,避免使用弱口令,防止數(shù)據(jù)被竊取、泄露,影響國家安全。

 

那么,企業(yè)組織要如何履行網(wǎng)絡安全義務,避免使用弱口令?

 

 

 

01

看似簡單的弱口令卻難解決?

 

從問題解決邏輯上來看,解決方法很簡單。

 

首先,找出企業(yè)所有的弱口令賬號、僵尸賬號等。在此基礎上進行賬號密碼整改,無效賬號全面清除,弱口令賬號全面按要求修改。

 

未來,所有賬號密碼修改遵循國家密碼要求,進行高強密碼設置,并每三個月一修改。

 

然而,從具體實施上來看,卻并不容易。

 

首先,數(shù)字化時代,一家稍有規(guī)模的企業(yè)系統(tǒng)應用數(shù)至少十幾個,規(guī)模大的企業(yè)甚至有成百上千套。這些應用系統(tǒng)建設時間還不一,有的甚至可以追溯到幾十年前;

 

系統(tǒng)管理人員流動性大,不同系統(tǒng)管理制度各不相同;企業(yè)人員規(guī)模龐大、流動性大,還伴隨著人員的入轉調離等人事變動;

 

除了人的身份賬號,企業(yè)還有特權賬號、接口賬號、設備賬號、某個應用程序賬號等......

 

要從這成百上千套應用系統(tǒng)找出企業(yè)包括人員、設備、接口、應用程序等所有弱口令賬號、僵尸賬號等高危賬號,僅靠管理員依次排查,這樣的效率和準確性屬實堪憂。

 

而這還只是第一步,接下來賬號整改又是一大難題。尤其是其中的人員配合問題,僅靠管理員制度的要求是不行的。

 

何況有的企業(yè)每個員工賬號密碼十幾個,要員工記憶完全不一樣的十幾個強密碼的確是強人所難,更遑論還要每三個月改一次密。

 

 

 

02

弱密碼檢測快速突破第一關卡

 

為了幫助企業(yè)告別弱密碼,滿足企業(yè)合法合規(guī)的安全等級要求,派拉軟件自主研發(fā)了弱密碼檢測系統(tǒng)。

 

該系統(tǒng)支持多種加密算法、校驗密碼強度,同時保障整體系統(tǒng)的密碼安全性。整個系統(tǒng)實現(xiàn)了從弱密碼發(fā)現(xiàn),到審計,再到治理全流程一體化管理。

 

圖片

 

也就是說,企業(yè)利用弱密碼檢測系統(tǒng),可以根據(jù)企業(yè)自身特征進行弱密碼規(guī)則定義,在系統(tǒng)原有的弱密碼庫(200 萬明文密碼庫、200 萬 Hash 弱密碼庫等,并根據(jù)互聯(lián)網(wǎng)爬蟲將互聯(lián)網(wǎng)常用語義錄入系統(tǒng)弱密碼庫)基礎上進行補充,然后一鍵快速掃描與弱密碼庫相符的企業(yè)所有應用系統(tǒng)弱密碼賬號。

 

掃描過程,系統(tǒng)支持AD、LDAP、Radius、DB、Linux等多種掃描方式,可對現(xiàn)有資產(chǎn)已經(jīng)存在的密碼進行密文掃描,無需解密,從而保證企業(yè)賬號密碼數(shù)據(jù)的安全性。

 

掃描出的弱密碼數(shù)據(jù),系統(tǒng)可以在線靈活開啟通知策略,管理員可根據(jù)人員、系統(tǒng)、賬號重要等級等各要素的不同,靈活設定并開啟賬號處理策略(如強制改密)。

 

后續(xù)新建的或賬號新增的其他應用系統(tǒng)改密操作,可以通過派拉軟件弱密碼檢測系統(tǒng)提供 的Open API進行調用,對密碼進行弱密碼校驗,從源頭解決企業(yè)弱密碼問題。

 

 

 

03

賬號密碼安全與用戶體驗優(yōu)化

 

清除了所有累積已久的弱密碼賬號,接下來企業(yè)需要考慮如何持續(xù)有效的安全管控弱密碼賬號以及其他風險賬號,并在此基礎上優(yōu)化用戶體驗。

 

派拉軟件認為,通過將企業(yè)內部員工身份,供應商、經(jīng)銷商等B端身份,C端用戶身份,設備、API、IOT、機器人等非自然人身份進行統(tǒng)一OneID治理,結合八大建設步驟,可以快速解決企業(yè)身份賬號、密碼、人員管理與辦公難題。

 

1

圖片

理數(shù)據(jù):一次梳理,身份全清

 

在清除各種弱密碼、孤兒賬號、影子賬號、僵尸賬號等各類風險賬號等基礎上,全面梳理企業(yè)所有應用系統(tǒng)數(shù)字身份歷史數(shù)據(jù),了解企業(yè)數(shù)字身份管理現(xiàn)狀。

 

基于利舊準則,在摸清企業(yè)已有身份數(shù)據(jù)與管理情況后,結合企業(yè)實際數(shù)字身份管理要求,為后續(xù)制定數(shù)字身份治理與管理的規(guī)范制度做好數(shù)據(jù)調研基礎。

 

2

圖片

定規(guī)章:細化規(guī)則,統(tǒng)籌把控

 

在梳理數(shù)據(jù)基礎上,定制統(tǒng)一身份認證規(guī)范、統(tǒng)一身份管理規(guī)范、應用帳號管理規(guī)范、帳號管理集成技術標準、應用集成接口規(guī)范與集成指引等系列規(guī)章制度。

 

圖片

 

通過細化管理規(guī)則,提前統(tǒng)籌把控身份管理與安全問題,結合數(shù)字身份治理與管理平臺,將身份與訪問管理制度線上化與流程化,有效保障企業(yè)數(shù)字身份管理與安全的強落地,并為后續(xù)更多新業(yè)務應用系統(tǒng)集成與身份管理提供標準化抓手。

 

3

圖片

納單點:一個身份,全網(wǎng)通用

 

在統(tǒng)一數(shù)字身份管理規(guī)章制度的基礎上,快速打通企業(yè)上百個業(yè)務系統(tǒng),實現(xiàn)單點登錄,讓員工擺脫多個賬號密碼困擾,僅憑一個身份,即可跨瀏覽器無感知安全便捷地訪問所有業(yè)務應用系統(tǒng),提升效率的同時優(yōu)化員工辦公體驗。

 

4

圖片

強認證:一次認證,便捷通行

 

借助統(tǒng)一門戶與單點登錄,員工只需在門戶中認證一次,即可直接訪問權限范圍內的業(yè)務應用,無需反復認證。

 

圖片

 

支持30+種認證登錄方式,后端直接配置登錄方式,包括賬密、短信、OTP、掃碼、人臉識別、無密碼、社交登錄等。這也就意味著在保障安全前提下,員工可以無密碼登錄,更加高效便捷。

 

5

圖片

授權限:一個后臺,精細授權

 

管理員可在一個后臺對所有數(shù)字身份進行統(tǒng)一授權,靈活定義和管理用戶對資源和功能的訪問權限。通過對業(yè)務應用系統(tǒng)重要程度等級劃分,將訪問權限根據(jù)需求不斷細化到每個應用、菜單欄、行、列,甚至數(shù)據(jù)級等。

 

圖片

 

基于定義角色、權限策略和訪問規(guī)則,實現(xiàn)精確的授權管理,確保每個用戶只能訪問其所需的資源,提高數(shù)據(jù)安全性和合規(guī)性。

 

6

圖片

控風險:嵌入大模型,安全防護

 

整個用戶資源訪問過程中,嵌入AI大模型,結合用戶與實體行為分析(UEBA)能力,根據(jù)不同業(yè)務安全風險場景,采取風險控制引擎,依據(jù)身份因子、瀏覽器因子、操作系統(tǒng)因子、行為因子等各種風險因子;

 

圖片

 

在重要風險決策點,如注冊、登錄、應用系統(tǒng)訪問、業(yè)務功能獲取等環(huán)節(jié),進行相關身份安全風險的識別與風險管控等,如各種撞庫、代理登錄、批量登錄、非常態(tài)登錄等登錄風險問題,機器人訪問、批量注冊、虛假注冊等風險,幫助企業(yè)智能化、自動化、全面化的實現(xiàn)安全監(jiān)測與風險識別。

 

7

圖片

全審計:一份日志,全盤審計

 

對企業(yè)所有業(yè)務應用系統(tǒng)進行統(tǒng)一全面安全審計,打破過去各業(yè)務系統(tǒng)獨立審計的困局,實現(xiàn)一份日志,即可追溯管理員、用戶在整個內生“數(shù)字世界”從點擊鏈接進入到登錄、認證、訪問、操作、權限變更等全流程行為與軌跡。

 

圖片

 

管理員可通過個性化配置可視化的報表和日志分析審計視圖,快速掌握系統(tǒng)的安全狀況和用戶活動,及時發(fā)現(xiàn)和應對潛在的安全風險,實現(xiàn)訪問可視化、透明化、安全化。

 

8

圖片

自服務:一個中心,便捷服務

 

直觀易用的自服務門戶,使用戶能夠自主管理和訪問其賬號和權限。例如,企業(yè)員工可以在線快速自主提交信息修改、密碼找回/修改/重置、查看和更新個人信息、賬號權限調整等申請。

 

圖片

 

管理員通過配置自動化審批與人工+智能化決策,快速進行審批與授權等操作,減輕企業(yè)IT團隊的負擔,提高用戶體驗和工作效率。

 

弱口令就像是一扇未上鎖的門,隨時可能被不法分子利用。而一個復雜的口令、一次加強的二次認證、一個AI風險大模型的嵌入、一份全鏈路的安全審計......都可能成為保護企業(yè)“數(shù)字世界”的堅實盾牌。

 

立即行動,持續(xù)優(yōu)化您的企業(yè)數(shù)字身份安全管控,履行國家網(wǎng)絡安全義務!