内部网络安全审计结果几乎不会公开到互联网上,但如果确实公开了,读来往往令人瞠目。
比如西澳大利亚审计长的2017年用户账户安全状态审计报告,覆盖了17个州立机构23.4万个活动目录(AD)账户的那份。
事件本身更为深远的寓意在于,这不仅仅是西澳大利亚州政府的问题,而是更为广泛存在的问题。
不安全口令问题从来不过时,6万个(26%)西澳洲AD口令极易猜解的事实毫不令人意外。
这些口令中,“Password123”被1,464个账户使用,“Project10”994个,“support”866个,“password1”813个,“October2017”226个,堪称五大最流行糟糕口令。
一个尤其令人心惊的情况是,审计员能用“Summer123”远程登录该机构的Web系统测试环境。
我们在该环境中发现了大量生产数据。
这就已经很糟糕了,但更糟的是,分析弱口令常用模式时发现,季节和日期略有改变的弱口令出现了12,744次,其中“123”变种数量最为庞大,出现了6,827次;“password”变种5,182个;还有765个仅由数字组成。
人们很容易将这种情况归咎于西澳洲政府没有施行健全的口令策略,但事实上,西澳洲政府确实是有一套口令策略——现在来看是错误的策略。报告中指出:“很多口令都符合口令长度和复杂度的行业标准——至少8个字符。”
这就表明仅仅应用这些参数并不足以防止对网络和系统的不当访问。
错误 1:身份验证去哪儿了?
表面上,该州管理员们没做到的是禁止使用已知不良口令或要求用户口令达到一定的复杂度。但真正的问题是,数千名政府雇员都可以登录其网络而不用正确验证自身身份。
这一错误的最佳样例,就是该州管理特权口令的方式。特权口令这种东西,任何网络都不想落入黑客之手。
某机构在审计中被发现有250个特权口令是弱口令,而大多数机构并没有采用身份管理系统来管理特权账户。有个机构甚至有2000个共享账户具备访问特权。
这些账户基本上都有共享口令,且难以追踪操作到个人身上,因而有着很高的未授权访问风险。
错误 2:AD数据库呢?
就在你以为该报告不会出现更糟糕的内容时,活动目录(AD)安全问题出现了。某机构的可离线的AD数据库被放在了支持用户及承包商可以访问的位置——攻击者第一时间会查看的那类位置。另一个机构则是“无意中共享了其整个AD数据库给某第三方,库中包含所有用户账户信息:员工姓名、用户名和加密口令。”
所以,这不仅仅是机构存在不良口令的问题,而是整个机构安全防护糟糕的问题,口令策略及实现缺乏仅仅是反映出了这一战略上的不足。
直到2018年底,西澳洲政府需实现彻底的安全改革,包括封禁不良口令,强制实施更好的特权账户口令管理,对远程账户施行多因子身份验证(MFA)。
大量的企业网络或许并不像他们想象中的那么远离账户安全问题。
至少,西澳洲政府干了件大多数企业网络主管不会做的事儿——不仅撰写一份供内部审阅的审计报告,还敢于公开,任人评说。
不良口令从未退出历史舞台,也不会从人们的习惯中消失,我们所有人都需要来自外部干预的触动。
西澳大利亚州审计长2017年报告:Information Systems Audit Report 2018