一名员工抱怨说,他不喜欢通过网络以纯文本形式发送其凭据,并且在这种情况下他不承担其网络身份的责任。现实世界中有人会窃取其身份的机会是什么?我找不到公司网络内任何明确的加密建议。
#1 楼
是的,加密很容易。此外,根据2014年软件工程学院的一项研究,在黑客攻击中,有四分之一来自公司内部某人,其平均损失比外部威胁参与者高50%。链接到资源:https://insights.sei.cmu.edu/insider-threat/2017/01/2016-us-state-of-cybercrime-highlights.html尽管这是2017年版。
评论
感谢您以实际数字支持推荐。那正是我所需要的。
– Rbjz
18年6月22日在12:10
好吧,内部网络中的“〜easy”和Internet上的easy(使用Let's Encrypt)。此外,我完全同意,并为信息来源+1。
– WoJ
18年6月22日在15:44
除了具有实际重要性之外,它也是可靠的安全实践-纵深防御(无需太多成本)。
–带外
18年6月23日在7:58
好建议。内部参与者嗅探网络是很容易的。
– Willtech
18年6月24日在9:32
但是,这些内部“黑客”中有多少是通过对Intranet http连接进行MITM来完成的呢?比方说,将Excel电子表格从一个工作地址转发到一个Gmail地址?
– jjanes
18年6月26日在13:26
#2 楼
在现实世界中,有人会窃取其身份吗? ARP并非旨在安全。一些高端交换机提供了合理的缓解措施,但是对于那些价格不菲的产品而言,它却相当脆弱。网络上的文本,并且他不能对这种情况下的网络身份负责。采取合理的预防措施来保护这些凭据免受其他员工的攻击。由于网络隔离,它们可能不受外部参与者的影响,但这可能不是那个家伙担心的...
评论
我不同意:恕我直言,在适当安全的网络上运行基于ARP欺骗的MITM攻击是不可能的(或者至少是“基本不重要的”)。
– jjmontes
18年6月27日在12:41
@jjmontes-“可以适当保护”不是您可以认为适用于大多数网络的短语。
–迈克尔·科恩(Michael Kohne)
18年6月27日在16:52
@jjmontes的想法正在扩展?我知道很少有网络会禁用具有超过2或3个mac地址的端口(电话,计算机以及其他设备),因此将端口转变为模仿者以获取所有流量通常不是问题。
–滕西拜
18年6月29日在13:24
在更安全的网络中,交换机和路由器中的MAC地址,IP,交换机端口(和电缆)和ARP表是静态的。 Afaik,该网络的用户无法通过物理访问方式从任何其他端口获取流量,并且对不正确的MAC的任何使用都会阻塞该端口并予以报告(尽管可以接受的是,在大多数网络中并非如此)。而且,这并不意味着OP不应该加密Intranet连接。
– jjmontes
18-6-29在13:45
@jjmontes静态ARP仅在受管交换机中受支持,这给管理带来了极大的麻烦,通常在这种情况下不太可能使用。从Cisco之类的交换机进行ARP的第3层侦听,并使用特殊的魔术来猜测ARP答复何时是虚假的……由于误报,这在Cisco硬件中默认为禁用。诸如带有一个mac /端口的802.11x之类的东西……仍然需要昂贵的交换机和Radius服务器。无论如何,这些都不是HTTPS提供的几乎没有开箱即用的安全性。
– gn
18年7月1日在7:49
#3 楼
是的,您必须加密连接。让我们假设一个场景,您认为您的网络在物理上是安全的(具有必需的物理安全性和其他必需的安全措施),并且没有Internet访问(因为您已表示仅允许VPN访问受信任的来源),但是假设您的员工随身携带了笔记本电脑家并连接到互联网。任何恶意软件都有可能在没有通知的情况下被实施。当该恶意软件连接到您的公司网络并开始嗅探流量时,它可能会变得活跃。这将导致您暴露所有公司通信,包括每个人的凭据。因此,始终建议对敏感流量进行加密。
CA的进一步研究(《 Insider威胁报告-2018》)指出了以下对内部威胁的担忧(参考:https://www.ca.com/content/dam/ca/us/files/ebook /insider-threat-report.pdf)。
报告摘录:
有90%的组织容易受到内部攻击。
导致风险的因素包括拥有过多
访问特权的用户太多(37%),具有访问敏感数据权限的设备的数量越来越多(36%),以及信息技术的日益复杂性
(35%)。
在过去的12个月中,大多数53%的人确认了内部人员对其组织的攻击(通常少于5次
攻击)。 27%的组织表示内部攻击变得越来越频繁。
组织正将重点转移到内部威胁的检测上(64%),随后是威慑方法(58%)和分析和
违规后取证(49%)。用户行为监控的使用正在加速。 94%的组织部署了某种监视用户的方法,而93%的组织则监视对敏感数据的访问。
阻止内部威胁的最流行技术是数据丢失
预防(DLP),加密以及身份和访问管理解决方案。为了更好地检测活动中的内部威胁,公司部署了
入侵检测和防御(IDS),日志管理和SIEM
平台。
绝大多数(86%)的组织已经或正在建立<内幕威胁程序。有36%的人有正式程序来应对内部攻击,而50%的人则专注于
开发程序。
针对内部人攻击的可能解决方案/缓解控制将会是:
评论
信息图出售:),该报告对于管理人员来说非常容易理解。谢谢。
– Rbjz
18年6月30日在11:40
图形总是很容易引起人们的注意并易于传达信息... :)
– Sayan
18年7月2日在16:14
#4 楼
抵赖风险除了所有关于员工是威胁,访客是威胁的好答案之外,我认为您还必须考虑到流量未加密的事实本身就是一个漏洞在完全没有黑客的情况下。
您正在为一种情况做准备,在这种情况下,任何员工做他们本不应该做的事(错误或有意为之),然后被调出否认实际上是他们。通常,经理您会说:“我们知道是您,因为您已登录”。在这种情况下,被告员工可以合理地回答“该登录名毫无用处,您就知道了。局域网中的任何人都可能会窃取我的密码,并以这种冒充我的身份作假。”
评论
是的,但不完全是。通常还有其他因素可以帮助识别连接的来源:来源IP地址就是一个示例。例如,某些网络将IP地址链接到MAC地址和交换机端口,这使任何人都很难或不可能使用未分配给他们的IP地址。此外,即使对流量进行加密,也可以使用该参数。
– jjmontes
18-6-27 at 12:38
#5 楼
一些公司,尤其是已经存在足够长的时间养成不良习惯的大型公司,大致具有以下错误的安全模型:内部没有人拥有足够的技术技能来滥用它。
是否有可能在所有情况下提供保护?不可以,但是适当的物理/建筑物访问控制可以帮助降低风险。但是,如果允许客人在办公室开会等呢?会议室中是否有易于访问的以太网端口或易于访问的无线网络,或者这些网络与可能散布凭证的网络分隔开了?考虑最坏的情况,即某个人(从组织内部或外部)窃取了另一个用户的纯文本凭据。他们能做什么?访问关键基础架构还是仅访问一些低调的开发服务器?如果身份被盗,您是否可以确定谁在使用登录名?
理想情况下,每个人都会在各处使用加密。但是,如果上述威胁在您的风险承受范围之内,那么加密Intranet资源可能并不紧急。根据组织的规模,将CA和SSL证书部署到所有资源可能会有一些开销。问自己,最糟糕的情况是:最坏的情况还是要进行工作以加密所有内容?
评论
如果攻击者能够使用凭据来“访问一些低调的开发服务器”,那意味着他们不能使用这些相同的凭据来签入添加某种后门的变更?
–用户
18年6月22日在13:38
#6 楼
在2018年,答案取决于您的威胁和风险分析结果。当然,您已经执行了这些任务,并根据适当的统计或定量方法,确定了可能的情况,对其进行了评估,并根据影响和频率进行了业务决策。进行了自己的个人风险分析,并得出了您指示的结果,即:在这种情况下他不能为自己的网络身份承担责任
他在评估中完全正确。即使从表面上看一眼,情况也清楚地表明,除了他以外,其他人如果没有技术技能,就可以冒充他。
对您来说,业务风险是可以接受的(显然,这是在2018年,内部网络未加密是一个有意的决定,而不是像我们一直那样做的情况,对吗?)而您在该决定中可能是正确的。接受风险是完全有效的选择。
对他来说,风险是不可接受的。请注意,他不会通过其陈述为公司做出商业决策。他为自己做出个人决定。这就是为什么两种风险分析可以得出不同的结果的原因-不同的环境,风险偏好,影响。
正确的答案是您承担着他拒绝承担的责任。通过不加密运行网络并承担风险,该公司承担了对该网络用户的网络身份的责任,因为它决定不保护他们。
我对您的公司风险管理的假设也可能会弄错,在这种情况下,我建议对这一特定事实(未加密的内部网络)和威胁(对用户的冒充)进行风险分析,以便您可以修改拥有未加密的网络,或将其巩固,结果表明保护网络的成本比预期的损失要高。
#7 楼
是的,您确实需要在“安全”的公司网络内部进行加密。任何网络渗透都会导致监听流量,而未经加密的任何内容对于攻击者来说都是很容易的选择。凭据,密码,薪水信息,商业计划书等等。
对于真实的恐怖故事,只需搜索“横向移动安全性”即可。
GDPR几乎没有严格的技术要求,但是如果您要处理欧盟公民的个人信息,则符合GDPR要求的常见解决方案是显示您对数据输入进行加密-flight(通过您的网络)
现实是,除了物理安全性之外,通过物理插入端口来访问网络内部并不是太困难(您是否正在监视每晚每天晚上打扫员工?-拜访供应商如何?)或更可能通过某种形式的网络入侵。
其他人引用了Google的BeyondCorp论文,值得一读。
https基本上,://://cloud.google.com/beyondcorp/
对您的“内部”网络的信任不应该超过
加密是低成本,高奖励的防御姿态。你为什么不这样做?
评论
绝对是这样; “安全公司网络”的想法已过时。没有理由通过假设网络安全来放松警惕;最小的额外警惕==使您的通信更加保密。
– Gargravarr
18年6月22日在18:19
#8 楼
是。您应该始终像在公共Internet上一样对任何Intranet上的连接进行加密。昨天公开的DNS Rebinding攻击允许攻击者使用受害人的Intranet来完全访问受害者Intranet上的任何HTTP资源。 DNS从攻击者控制的IP地址重新绑定到相应的Intranet IP(例如10.0.0.22)。 (扫描HTTP服务的Intranet IP空间可以通过其他技术来完成,只要了解用户的私有IP地址即可轻松完成。)受害者加载受攻击者控制的网页(或javascript或iframe等)。
使用HTTPS可以最好地缓解这种攻击,因为DNS重新绑定将与显示的证书域不匹配。尽管删除默认虚拟主机似乎也可以缓解这种特定攻击,但该攻击只是表明如何通过未加密的连接来暴露内部资源会如何导致其他地方的安全漏洞。 (我什至没有在谈论我们去年下半年出现的802.11 wifi漏洞。请不要通过wifi公开Intranet资源!)
#9 楼
纵深防御这里有几个很好的答案,但是即使您完全信任所有员工(您很可能不应该信任),也为外部攻击者敞开了大门,使安全性变得更加困难。
通常,攻击者首先需要以某种方式进入您的网络(这可以通过多种方式完成),然后他需要在某个地方进行登录以实际访问敏感数据。通过提供未加密的登录密码到处都是,您使第二步变得非常容易。现在,只要攻击者获得了对您网络的访问权限,他就立即可以访问高级凭据。
多层防御的概念称为深度防御-如果攻击者可以破坏一层,必须打破其他障碍以造成伤害。
所以请加密您的凭证!
评论
在大学里,我被教导有关这一点。相反的是,仅使用防火墙并假设内部网络是环围且“安全”的,因此被称为“巧克力软中心”方法,我认为这是一个准确的术语,我今天仍然使用。
– Gargravarr
18年6月22日在18:12
#10 楼
我是否需要加密通过HTTP对Intranet资源的访问?
是的-如果人们正在对服务进行身份验证。 >
我不知道-我从未见过在您办公室工作的人/处于其Wifi网络范围内/可能能够利用您的网络。我不知道您认为“体面安全水平”如何。我不知道您对“受托方”有多信任。当然,监视MAC地址对于防止网络嗅探几乎没有作用。
实施TLS会带来多少损失?
评论
“实施TLS有多大伤害?”您必须站起来一个证书颁发机构,将内部的根CA证书分发给所有计算机,操作系统要在证书每次到期时刷新它们,并配置每个敏感服务和服务器以使用您的证书。或者,也许您可以连接所有计算机以从Let's Encrypt!获取并安装证书。最终,它可能会花费很多。
–约翰·迪特斯
18年6月21日在18:53
是的,与现有的商业提供商竞争需要花费巨额资金。安装该软件的成本非常低(需要几个小时的时间)。在您的资产中进行部署应该不会花费太多-如果您有很多机器,那么您应该拥有自动化的部署工具。撤消可能会有些棘手-但在小范围内不太可能需要撤消。
–symcbean
18年6月21日在21:02
@JohnDeters进行了一些规划,因此可以以非常低廉的价格甚至免费安装,并且具有最小的侵入性,并且可以逐步推广。我在内部构建了一个自签名的CA,这意味着我可以根据需要添加服务器,然后将单个公钥分发给信任(可以很容易地将其撤消),然后我的所有系统都可以通过HTTPS运行。
– Gargravarr
18年6月22日在18:24
@Gargravarr,您可以在组织规模很小的情况下执行此操作。但是张贴者使用了“公司网络”这一短语,这意味着有更多的机器。随着网络中计算机数量的增长,成功管理所有这些设备的能力会下降。总体成本包括处理证书过期之类的问题,以及有多少人会遇到故障。或者,当一位PKI专家离开时,公司会面临发生风险的风险,而老板试图接管他或她的职责并弄乱了事情。那既不是“便宜”也不是“免费”。
–约翰·迪特斯
18年6月22日在18:44
@JohnDeters除非有现成的解决方案。大多数公司网络都使用例如AD,它允许将CA证书推送到客户端。我希望对于小型组织而言,这是特别困难的事情,因为那里有很多临时性的事情。
– Maciej Piechotka
18年6月25日在7:18
#11 楼
这样思考您的员工:
以这种方式思考:如果您信任网络,以至似乎不需要加密凭据,那么为什么根本需要凭据?您是否认为可以用一个简单的字段替换登录表单,用户可以在其中输入他们的姓名?毕竟是您信任的各方,而通过HTTP发送的密码并不是什么秘密。
#12 楼
引用一件T恤:“就做吧!”您花了数小时在堆栈交换上,以证明没有理由花7美元购买证书和20分钟固定您的服务器。
您没有想到的一件事:员工如何知道
他正在将其凭据输入到真实的网站中,而不是正在运行的网站的副本中?在ARP欺骗的
复印机后面隐藏的arduino上? PCI / HIPAA / GDPR随时都会发生。如果有任何“管理员”用户登录到您的网站,则您必须加密所有连接或面临严重的麻烦。
评论
我不确定这是否能回答问题。你能澄清一下吗。
–Rory Alsop♦
18年7月3日在14:07
简短的答案是“是”。它容易,便宜,推荐。
– Jan Hertsens
18年7月4日在15:27
评论
我相信员工在这种情况下有权利提出投诉。只是以为我会补充。另外,在谈论您确切指的“受托方”时,除了他们告诉您他们值得信赖的事实以外,您是否有其他理由信任他们?如果我想窃取另一位员工的凭据,例如通过机密的公司数据进行窥探,破坏我不喜欢的员工或以其他人摔倒的方式对我们的计算机进行加密劫持,则嗅探登录到HTTP内部网将是一个好方法怎么办,别想?
您的威胁模型是什么?员工攻击公司,公司攻击员工,员工相互攻击,第三方攻击员工,第三方攻击员工并演变成对公司的攻击……?在不知道要防御什么的情况下,很难评估安全措施的成本效益。
我必须承认有一点拖钓游览的罪恶感。当我抱怨的时候,我代表该组织发言。您的惊人反应可能有助于说服IT部门做一些事情:D谢谢大家!
请注意,对于美国政府机构而言,所有流量的内部加密通常是强制性的,政府承包商也同样如此。过去十年来最引人注目的破坏都是内部威胁。