【兵临城下】系列公开课是盛邦安全基于多年攻防实战经验,针对重保及攻防演习等场景而推出的系列直播活动,将从资产暴露面梳理、攻击面管理、脆弱性自查、安全防线加固、协同联动防御以及攻击溯源、应急响应等全流程进行梳理,陆续上线十几场的直播分享活动,大家可以关注【盛邦安全视频号】提前预约直播活动。
本期公开课的主题是“如何应对老大难的弱口令问题”,小编梳理了实录文字供大家参考。
大家好,我是检测产品线产品经理赵东东,今天我给大家分享的是如何应对“老大难”的弱口令问题。在这里面我会从攻防演习中弱口令的现状及如何应对“老大难”弱口令和注意事项这几个方面展开分享。
事实上,弱口令问题一直是网络安全中的“老大难”问题。尤其是近两年,随着企业数字化转型的推进,业务应用与互联网交互不断深入,大量重要数据与信息都存储、流转于业务系统内,成为被黑客觊觎的焦点之一。
目前,弱口令除了在互联网上造成的大量信息泄露、内网渗透、勒索病毒、挖矿木马等安全问题外,在攻防演习过程中也可以看到,弱口令也是利用率最高的攻击手段之一,在常用攻击手法中占比接近30%,仅次于0day漏洞。
如今,随着物联网与云计算等技术的发展和应用,企业信息化进程不断深入,从传统资产转变的数字资产越来越多,资产的账号密码问题愈发凸显。而弱口令本身就是一种攻击成本非常低的攻击方法,很容易导致数据泄露、勒索病毒、挖矿木马等一系列安全问题。据调研数据显示,互联网上因弱口令引发的网络安全事件占比高达70%以上。国家互联网应急中心在针对勒索病毒给出的官方防范措施中,也将使用强口令及不同设备使用不同口令作为首要建议。
弱口令目前没有标准或权威的定义,若从漏洞角度来看,弱口令应该是属于逻辑漏洞,它主要与个人习惯及安全意识相关。为了避免忘记密码,人们经常使用一个容易记住或自己熟悉的密码,甚至直接采用系统的默认密码。
我们把密码比作家门钥匙的话,那默认密码就相当于把钥匙插门上,谁来了都能开门而入;简单口令就相当于把钥匙放门框上或放地毯下,简单找找就能发现钥匙,同样开门而入。所以弱口令的存在使得外部的安全防护设备形同虚设,导致网络和系统中的重要数据、敏感信息文件等都将暴露在黑客面前。黑客能够轻而易举地登堂入室,执行该账号所拥有权限下的所有动作。
在攻防演习中,攻击方常用弱口令类型包含以下六种:空口令、默认口令、简单口令、网上已经泄密口令、适当组合变化口令以及个人或组织的习惯口令。针对“老大难”的弱口令问题,作为防守方我们该如何发现、如何解决呢?
传统的一些检测方法通常都是依据口令字典进行爆破,因为字典的局限性,只能爆破猜解空口令、简单口令及适当组合变化的弱口令口令,无法针对设备或业务系统默认管理口令、网上泄露的口令以及个人或组织习惯的口令进行猜解。且传统的口令检测手段单一,仅支持基于协议的口令也就是常见服务及数据库口令的猜解,无法针对某个厂商具体型号的设备及业务系统进行检测。同时因为字典相对固定,缺乏自动化生成口令字典的能力,无法基于用户特定场景自动化构造专属口令字典。
为此我们梳理了一套完整有效的弱口令排查流程,一共7个步骤,目标确定、策略制定、字典构成、检测执行、结果分析与核验、弱口令修复以及弱口令复测。
我们先来看第一步目标确定。在进行弱口令检测之前,首先要明确扫描资产范围,也就是确定可以进行检测的资产IP范围,资产网络区域、资产端口、服务等信息;其次,基于这些目标来梳理资产清单,确定资产类型,目的是可以根据资产清单针对性构造字典,提高检测准确率及效率。最后,将资产信息按照相同检测维度划分资产组。这里的资产组划分没有固定标准,比如可以按照是否周期性检测划分,也可以按照业务重要性划分,还可以按照资产类型划分。
目标确定后紧接着就需要制定检测策略。为了提升检测准确性和检测效率,那就需要针对不同资产目标下发不同配置的检测任务。这里需要确定的检测策略项包括扫描时间、扫描范围、扫描方式和扫描依赖等。可依据可用于检测的带宽大小、网络区域的划分情况,业务系统的重要程度以及业务繁忙时期等因素,配置针对性检测策略。
例如,需要确保检测所用带宽不得影响业务运行,那就可选择非业务繁忙时期,或者降低并发、进行慢速检测等方式避免影响业务运行;针对重点业务系统也可在夜间进行检测;甚至对于关键敏感业务系统添加例外不进行检测,转为人工核验;针对有网络区间逻辑划分的可临时放开访问控制及防护锁定策略等。总之,针对不同的资产目标,需要针对性制定检测策略,从而提升检测准确率和效率。
当完成策略制定后,就需要依据目标和策略构造专属口令字典。传统的字典相对固定,无法动态调整,字典小了导致弱口令检测不到,字典大了导致检测时间过长。攻击方常用的字典类型包含空口令、默认口令、简单口令、组合口令、网上泄露口令和个人或组织习惯口令。因此我们构造的检测字典类型也应包含这6类。
为了规避传统检测手段单一的问题,在检测时,字典内容中除了传统的协议口令外,还需要可针对设备和应用直接进行检测的字典,比如交换路由设备、网络安全设备、OA系统、摄像头的字典。同时要对web应用进行弱口令检测,字典就需要匹配web入口,从而提升检测效率又保证了字典的完整性。
除了字典内容需要针对性构造外,字典的模式也需要针对性构造。现有的字典模式分为组合模式和标准模式,组合模式是指账号与口令一一对应,这种模式下,账号与口令的关系非常明确,在账号密码不多的环境下使用此模式字典,检测效率会很高。另一种标准模式是指账号库与口令可以自由组合,适用于多种场景,相对而言,检测耗时较长。在检测时,需要根据检测目标及场景针对性选择字典模式。
不同场景下的字典如何构造呢?我们通过模拟社工场景,使用弱口令检测系统的字典生成功能,可基于场景关键词生成所需字典。例如针对集权系统的管理员账号、网络安全设备、网络设备、个人终端等环境,可使用一对多的字典模式,这些设备的账号名相对固定,可针对场景生成对应密码字典,进行一对多组合检测。对于同一单位的OA系统、邮件服务器、堡垒机、VPV等业务系统,可通过导入通讯录方式自动生成账号字典,开展多对一的组合检测;对于业务系统、web应用等可进行多对多的组合检测。
针对场景的字典构造完成后,就可以开展检测任务了。但一个单位内,往往存在着口令重复使用的问题,因此在检测时,除了使用构造的动态应用字典外,还需要将检测成功的口令横向爆破,发现单位内口令重复使用的问题。
我们知道弱口令检测不一定能100%发现所有弱口令,因此需要对检测结果进行分析核验。通过分析识别到的资产指纹信息,调整任务检测策略,更新字典库,重新下发检测任务,从而获取全面完整准确的检测结果。
检测完成后,就需要对检测到的弱口令进行修复。弱口令问题主要还是人员安全意识不足的问题,所以除了使用强密码策略外,最重要的还是要加强人员安全意识。强密码策略这里尽可能做到使用多字符组合的强密码,不要关联人员信息,如姓名拼写、简写等;坚决不能使用默认账号密码;避免一个密码多处使用,避免部门或单位内使用同一密码;建议定期更换密码并使用多因素身份验证。
密码修复后,可通过周期性任务或专项弱口令复测任务跟进弱口令整改情况,这里通过系统的弱口令变化趋势可直观检测弱口令的整改情况。
点击了解更多