标准20252020年,恶意黑客入侵了美国网络安全公司SolarWinds开发的一款广泛使用的网络管理软件。它使他们能够访问SolarWinds客户的计算机网络,包括美国政府部门、核设施、It公司和世界各地的许多其他组织。
据报道,一位安全分析师在一年前的2019年警告SolarWinds,任何人都可以使用密码“solarwinds123”访问他们的更新服务器。人们普遍认为,密码管理薄弱可能是此次攻击背后的促成因素。
在2021年的另一起独立且无关事件中,当网络犯罪分子入侵提供摄像头的安全公司Verkada时,糟糕的密码管理再次发挥了重要作用。他们入侵了安装在学校、医院和财富500强企业的多达15万个安全摄像头。
攻击者使用了一个“超级管理员”密码,该密码授予了对Verkada系统的广泛访问权限。该密码可以在100多名内部用户之间共享。
由于缺少多因素身份验证,攻击者更容易利用被泄露的凭据。此外,Verkada没有基于角色的访问策略。
IT系统的网络安全
国际公认的最佳做法是将网络访问限制在个人完成工作所需的水平。它被称为最小权限原则,是ISO/IEC 27001建议的关键措施之一:“只应向用户提供对他们已被特别授权使用的网络和网络服务的访问权限。”
另一项国际标准ISO/IEC 27002就IT系统的密码管理提供多项实用建议,强调了强大而唯一的密码、安全的分发机制和定期更改密码对于保护用户账户的重要性。它确定了密码管理的三个关键领域:密码创建和分发、用户责任和密码管理系统:
密码创建和分发
密码应复杂、唯一且不易猜测。
密码必须安全地传输给用户。
在提供密码信息之前,应验证用户身份。
厂商提供的默认密码必须立即更改。
用户责任
用户必须对密码保密,不得与他人共享。
如果密码被泄露,应立即更改。
用户应该使用混合字符创建复杂的密码。
密码管理系统
用户应该能够选择和更改他们的密码。
建议使用多因素身份验证。
密码应定期失效,特别是在安全事件或员工变更后。
应防止重复使用以前的密码。
密码应安全存储和传输。
国际标准中的建议总是切合实际的。例如,ISO/IEC 27002警告密码疲劳的危险,指出频繁更改密码可能会令人沮丧,并可能导致密码较弱。
操作技术(OT)网络安全
IEC 62443是世界上最著名的关键基础设施和其他工业自动化和控制系统(IACS)网络安全标准。这种操作技术(OT)曾经是离线的,但现在通过工业物联网(IIoT)连接起来。
对于访问控制,IEC 62443-2-1还推荐采用最小权限原则,以防止未经授权的访问。
IEC 62443-3-3是确保密码完整性和安全性的措施的大多数建议。它包括复杂性、唯一性、安全存储和定期更新的准则。
IEC 62443中描述的安全级别直接影响密码管理。很简单,安全级别越高,对密码管理的要求就越严格。