简单密码和不良员工如何使网络安全面临风险

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

十月是网络安全意识月,在 SSL.com,我们旨在教育公司、政府机构和公众如何在应对不断扩大的互联网领域时保持警惕。 在本文中,我们将讨论针对大型组织的网络攻击的惊人增长。 

过去两年尤其令人担忧,因为网络安全漏洞(尤其是勒索软件)有所增加。 2020 年的头几个月看到了 稳步上升 与勒索软件攻击并导致 2021 年上半年急剧增加。到 2021 年 78.4 月,记录了 XNUMX 万次未遂的勒索软件攻击! 

与其他劫持人质情况一样,勒索软件黑客的目标是窃取公司的宝贵数据或访问其计算机系统的权限,并在他们放弃对此类资产的控制之前索要巨额资金。 现在您可能会认为,随着所有现代安全软件的开发,勒索软件团伙将所有时间都花在开发超级复杂的工具来攻击他们的受害者。 但正如我们将在以下部分中解释的那样,他们中的许多人回收了他们的黑客武器,并从非技术和外围入侵途径开始:人为错误。 恶意软件本身的开发确实需要技术技能,但它的执行就像员工单击恶意电子邮件中的链接或文件一样简单。 重要的是要记住,勒索软件攻击是分阶段发生的,而且通常在较简单的阶段,全面的攻击才能获得动力。 

 事实上,在一项研究中 IBM,从等式中去除人为错误将导致 95% 的数据泄露被阻止发生。 

高邀请密码和宽大员工的问题

A 2019研究 PreciseSecurity.com 将糟糕的密码确定为勒索软件攻击的第三大原因,仅次于员工缺乏网络安全培训和网络钓鱼。 正如您从勒索软件感染的这三个主要原因中注意到的那样,所有这些都确实源于人为错误。 

实际上,人脑确实是一个强大的器官,能够为各种帐户记住冗长的多个密码,尤其是在经常使用这些密码的情况下。 但是,在一个 由 Google 和 Harris Poll 进行的调查发现,53% 的人对多个帐户使用相同的密码,而 13% 的人对整个帐户使用相同的密码。 综合起来,这些数据表明 65% 的人会回收他们的密码,即使他们有所有选项可以想出其他人。 

谷歌和哈里斯民意调查的调查表明,现代网络文化的趋势是人们希望更快地访问,甚至是对多个帐户和设备的主访问权限。 可以理解的是,如果我们谈论的是十多个帐户,则必须经常输入冗长的密码或生成强密码的合理困难是单调乏味的。 但是,当全球有 23.2 万数据泄露受害者受到伤害时,这无济于事 发现 使用 123456 作为他们的密码,而另外 7.8 万人使用了 12345678。更糟糕的是,另外 3.5 万各国选择使用“密码”这个词本身作为他们免受网络窃贼的屏障。  

在下一节中,让我们看看糟糕的密码和行为不端的员工如何为仅在过去两年内发生的历史上最大的勒索软件和网络间谍攻击铺平了道路——这是人们应该拥有更多知识和能力的时期保护自己免受网络罪犯的侵害。 

殖民管道勒索软件攻击

2021 年 50 月,勒索软件团伙 DarkSide 攻击了该国主要的汽油和柴油管道系统 Colonial Pipeline,并导致该国 XNUMX% 的燃料供应链中断。 

网络绑架者从该公司窃取了近 100GB 的信息,并威胁如果该公司不支付赎金,将在互联网上泄露这些信息。 由于担心随后发生攻击,Colonial Pipeline 决定关闭其业务并向 Darkside 支付近 5 万美元。 这次勒索软件攻击影响了机场的燃料供应和航班时刻表的变化,并引发了恐慌性购买。

在参议院听证会上,首席执行官约瑟夫·布朗特 (Joseph Blount) 透露,攻击是由员工登录旧式虚拟专用网络 (VPN) 系统发起的,该系统仅设置了单因素身份验证。 这意味着不需要二次通行证(例如发送到手机的安全代码)来访问它。 

曾咨询过网络安全公司 Mandiant 来分析这次攻击,他认为该员工可以在先前遭到入侵的网站上使用该密码。 

新的合作勒索软件攻击

就在上个月,位于爱荷华州的农业合作社 NEW Cooperative 遭到了一个自称 BlackMatter 的俄罗斯勒索软件团伙的攻击,该团伙据信是 DarkSide 团伙的更名版本。 网络犯罪分子要求支付 5.9 万美元,以恢复合作社对其计算机系统的访问权限,该系统用于喂养 11 万只动物,包括牛、鸡和猪。

数字身份安全公司 FYEO 的首席运营官 Tammy Kahn 分析说,对 NEW Cooperative 的勒索软件攻击是由许多员工使用错误密码造成的。 

当 FYEO 在他们的数据库中审计 NEW Cooperative 的网站时,他们发现该组织过去有 653 个密码被泄露。 更糟糕的是,发现 120 名员工中最常用的密码是一种非常常见的农场动物和计数时最先出现的数字的组合: 鸡1. 如此简单的密码肯定会失败。 忘记网络钓鱼活动和暴力破解工具。 由于员工和高管的电子邮件地址在网上公开共享,黑客通常只需要猜测密码,而诸如“chicken1”之类的东西几乎是无用功。

SolarWinds 网络间谍活动

IT 软件公司 SolarWinds 在 2020 年初被疑似俄罗斯黑客渗透。他们的监控软件系统 Orion 的更新中植入了木马程序,该公司的 33,000 名知名客户使用了该系统,其中包括数千名政府部门国内外的代理机构,以及美国最大的公司。 恶意代码随后使黑客能够安装更多恶意软件,从而使他们能够监视受影响的受害者。  

安全研究员 Vinoth Kumar 声称 曾在 2019 年警告 SolarWinds,任何人都可以访问该公司更新服务器的密码。 那个密码显然是: 太阳风123

在国会听证会上,SolarWinds 辩称弱密码是他们的实习生犯的错误,他们也在 GitHub 上分享了密码。

众议员凯蒂·波特被这一消息激怒,以至于她 惊呼: “我有一个比 'solarwinds123' 更强的密码来阻止我的孩子在他们的 iPad 上看太多 YouTube。”

更糟糕的是,SolarWinds 首席执行官 Sudhakar Ramakrishna 承认,泄露的密码自 2017 年以来一直被使用,但直到 Kumar 于 2019 年警告该公司才采取行动,这已经太晚了。 

SolarWinds 攻击是历史上最大的网络间谍活动之一,被认为造成了平均 12 百万美元 每家被渗透公司的财务损失。 

 

 员工如何通过良好的密码实践加强公司的网络安全

现在,公司比以往任何时候都更应该投资于基本的网络安全实践。 解决重复的,更不用说高度简单的密码与花时间想出更强大的密码的区别可以保护公司数十万的金融资产。 事实上,一个 白皮书 网络保险公司 Coalition 的报告显示,网络犯罪分子的平均赎金需求从 230,000 年第一季度的 2020 美元跃升至同年第二季度的 338,669 美元。 在短短 47 个月内增长了 6%!

企业和其他组织还应注意,网络犯罪分子与其他团伙进行联合行动,因此一旦密码被泄露,这些密码很可能会在地下论坛中迅速共享,从而增加攻击点。 实际上, 研究 作者 Agari 发现,一旦在网络钓鱼网站和论坛中共享被盗用的密码,就会迅速受到攻击。 当他们在这些门户网站上发布虚假账户的凭据时,20% 的人在短短一个小时内被渗透,40% 的人在短短六个小时内被攻破。

以下是一些实用技巧,即使是零计算机科学背景的员工也可以实施以加强其公司的网络防御。 

使用字符替换和密码短语对您的密码进行创意

正如您在 NEW Cooperative 和 SolarWinds 的案例中所见,即使网络墙有微小的凹痕,也可能发生复杂的网络攻击。 那么你怎么能想出比chicken1和solarwinds123更好的密码呢?

首先是查看账户的密码要求。 如今,大多数平台都要求用户包含大写字母、小写字母、数字和符号。

字符替换和密码短语是很好的组合策略,可以从平凡的单词中创建强密码。 比如说,你有宠物蜥蜴,所以你可以选择这样的短语:蜥蜴有鳞,但我喜欢它们。 然后,您可以将某些字母替换为数字或符号。 字母“i”可以变成1,字母“s”可以变成5,字母“a”可以变成@。 您还可以在 scaly 一词后放置一个像“,”这样的字符。 因此,您的密码短语变为:L15@rd5@re5c@ly,but1l1kethem。 起初输入这个会很尴尬,但你的大脑会通过多次重复很快适应它。

密码短语 + 字符替换的好处在于,它们将人类大脑记忆个人或有意义的事物的倾向视为一种优势,而不是障碍。 您可以将来自身边事物的单词组合起来,例如您的宠物、家人、最喜欢的地方,但请确保将它们串成短语,而不仅仅是单独的单词,并提供独特的代码。 与随机混杂的字符相比,密码短语绝对更容易记住。 使用代码的字符替换可以重复到其他密码中,但只有您知道代码代表什么。

在密码中包含外来词

如果您一直在参加外语课程或知道如何说外语,那么您应该考虑使用您的语言技能来加强您的密码。 

Internet 通信和交易主要以英语进行,因此如果您能想出一个密码,例如:“Mam-is baw kayman nan ba-at ya ubi”,黑客将很难破解它。 在英语中,这句话的意思是“香蕉和红薯一定很好吃”。 如果密码是用英文生成的,黑客就会有更多的机会破解它,因为它听起来像是一个常见的短语。 但是因为它是用源自菲律宾北部岛屿北部山区的当地语言编写的,即使黑客们拥有最有可能用英语设置的蛮力黑客软件,他们也很难猜测。 将此策略与字符替换和密码短语相结合,您将进一步提高帐户的安全性。

使用外来词的另一个好处是它们可以让你的大脑保持健康,因为它成为一种认知锻炼。 所以有一个很好的动力去学习另一种语言!

在密码中添加空格

道德黑客,ED Skoudis, 股份 即使是最不了解 IT 的员工也可以做的一件简单的事情来加强他们的密码: 

“有一件非常简单的事情,你也可以做一个让你的密码更难被攻击的事情......简单地在你的密码中放一个空格,现在不是所有系统都支持,但有些系统支持,但我作为计算机攻击者告诉你,密码中的空格使我更难破解或猜测您的密码。 你可以把它放在中间的某个地方。 也许放几个空格。 最阴险的地方是在密码中放置一个空格,但您知道为什么吗? 因为如果攻击者成功破解你的密码,它会显示在攻击者的屏幕上,他们不会看到空格,对吧? 因此,他们会进入并锁定您的帐户,想知道为什么您的密码不起作用,因为他们没有在空格中输入。 而且我宁愿让我的帐户被锁定,也不愿让坏人访问它。”

使用密码管理器

回到本文开头提到的 Google 和 Harris Poll 调查,令人遗憾的发现只有 24% 的受访者使用了密码管理器,而只有 55% 的人能够正确定义该术语。 因此,这应该促使公司实施系统,让他们的员工可以使用并获得有关密码管理器好处的更多教育。 

对于那些想要避免为各种帐户记住和键入冗长的随机密码的负担的人来说,密码管理器是一个很好的解决方案,因为它们的同步和密码生成功能允许轻松访问各种帐户。 

从曾经臭名昭著的黑客变成安全顾问凯文米特尼克那里得到它 :“密码管理器允许您管理其余的凭据,因此您选择一个主密码来解锁密码管理器,密码管理器会处理其余的事情。 你实际上可以配置 这些密码管理器 例如,随机创建 15 个字符的密码。”

遗言

我们希望您从本文中学到了一些实用的知识,在这个网络安全意识月期间,我们鼓励您更多地了解网络安全不仅在商业中而且在日常生活中的重要性。 保持安全并保持警惕!

 

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。