该供应商编写的技术底漆已经被网络世界编辑,以消除产品推广,但读者应该注意到它可能会倾向于提交者的做法。有个足球雷竞技app
安全Shell (SSH)是一个安全计算机系统管理、文件传输和计算机和电信系统自动化的工具。安全外壳协议是每一个Unix、Linux和Mac系统的标准,也广泛应用于Windows(微软已宣布计划使其成为Windows的标准组件)。它也包括在几乎每一个路由器和移动网络基站。在许多方面,我们所知道的连接世界都运行在安全Shell上。它的密钥广泛用于网络上的自动化访问,没有它,现代系统就无法实现成本效益高的管理。
美国联邦信息安全管理法案(FISMA),要求所有机构必须符合NIST,标准和技术研究所开发的最起码的信息安全标准。实现安全的这个最低水平所需的强制性控制在NIST特刊800-53,转速设定。4.它代表了行业的最佳实践,也被广泛遵循的商业部门;其建议主要反映在特定行业的安全标准也是如此。
就在最近,NIST公布NIST IR 7966,“使用安全Shell (SSH)的交互式和自动化访问管理的安全性”。“它为企业、政府机构和审计员实施安全Shell密钥管理实践和政策提供指导。”
NIST IR提供了安全外壳认证的概述,特别是公钥认证。然后提供关于如何管理安全Shell密钥的建议,并将这些建议映射到NIST SP 800 - 53。The document was written by the best experts in the field, based on years of practical experience in working with customers (including several of the world’s largest banks and private enterprises) on Secure Shell key management solutions.It defines the best current practice for the industry.
例如,NIST强制控制包括基于有效授权(业务需要)限制对信息系统的访问、最小特权原则、在不再需要时终止访问以及定义的访问控制策略。安全外壳密钥只是提供这种访问的一种方式,类似于密码或智能卡。
忽视了最基本的安全控制
所有信息安全——系统的机密性、完整性和持续操作——都从控制谁有权访问系统和拥有什么特权开始。如果任何人都可以获得管理访问权限,就没有安全性可言。
如果一个组织甚至不知道有多少安全Shell密钥授予对其信息系统的访问权,更不用说谁拥有这些密钥、为什么要使用它们或者是否仍然需要它们,那么这就是疏忽。在大多数组织中,所有配置的安全Shell密钥中约有10%授予特权管理访问权。在许多组织中,90%已配置的安全Shell密钥不再使用——它们表示在不再需要时无法正确终止访问。
许多大型企业已经有大约十倍的Secure Shell键比他们的用户名和密码。在100,000名员工的企业查找安全Shell键50万至5万之间是常见的。企业和政府机构不能认真地继续假装90%的访问凭据是不存在的。这完全是肆无忌惮!
许多IT管理人员知道他们在安全Shell密钥方面有一个巨大的问题,但他们不想引起人们的注意,因为修复它将是昂贵的,痛苦的,而且他们非常忙。即使是一些CISOs和cio也会忽略这个问题,但他们的技术水平往往不足以了解系统内部发生了什么。
首席执行官、董事会成员和审计委员会有法律责任确保他们的组织遵守某些标准。萨班斯-奥克斯利法案(Sarbanes-Oxley)要求首席执行官和首席财务官在财务报告的准确性和完整性以及围绕财务报告的内部控制方面提供个人证明。如果公司甚至不知道有多少安全Shell密钥以未知的特权级别授予未知方对金融系统的访问权,那么它甚至无法实现最基本的安全控制。
如果公司允许从测试和开发系统到生产系统、从主系统到灾难恢复站点,或者从其他系统到备份和日志系统的不受控的基于密钥的访问,那么公司也会面临重大风险。PCI(信用卡处理)环境并不总是对来自其他系统的基于Shell密钥的安全访问进行审计,这可能导致巨大的成本和声誉损失。安全Shell密钥可用于在组织内快速传播攻击,也可用于备份和灾难恢复站点。
大量的培训需要得到审计人员和风险管理人员来解决这些问题。
我们是怎么走到这一步的?
安全Shell的使用是在系统管理的基础上发展起来的,在大多数组织中,它的部署从来没有得到太多的管理关注或规划。它是大多数操作系统中包含的标准组件,不需要购买决策。它是运行我们系统的无形管道。
使用安全Shell键已经在他们方便的生长二十年,无人值守,对于系统管理员,顾问和安装这些厂商给自己访问,应用程序和自动化系统管理自动化之间的文件传输。按键几乎从未被拆除或更改。
由于没有适当的控制和策略,没有人跟踪每个系统安装了多少密钥,它们授予了哪些访问权限,它们为什么存在,或者是否仍然存在需求。此外,安全Shell密钥提供了一种绕过普通特权访问管理系统的方法,这些系统应该审计和控制对敏感系统和数据的访问。从制造业到银行业,从电信业到政府,各行各业的情况似乎都非常相似。
行动呼吁
需要做什么?
- 内部和外部审计师必须安全Shell键扫描和管理添加到他们的支票。这是好得多醒来的问题在内部审计不是由银行监管部门给予最后通牒或有解释给股东或SEC为何门大举进攻后关闭连续第四周。
- 适当的控制和工具必须到位,管理安全Shell键。真正的问题是授权密钥,因为他们是授予访问权限的人。不管你有多少保护私有密钥,它是没有帮助的,直到数以百万计的现有授权密钥已被整理出来。
- 监管机构必须建立严格的期限,为企业和机构得到他们的行为在一起。条例本身已经足够了。FISMA,HIPAA,NERC CIP,PCI,COBIT和其他人已经要求在谁可以访问系统和数据,并获得正确的终止时,不再需要控制。然而,执行和审计准则应加以澄清,以确保安全Shell键被考虑在内。
- 董事会、审计委员会、首席执行官和风险管理官员必须确保基于Shell key的安全访问在其组织中得到适当的考虑,以避免民事和刑事责任。
展望未来
泄漏的规模、频率和影响都在增加。安全Shell密钥在管理不善的网络环境中丢失的时间越长,黑客或恶意内部人士利用它们访问和窃取敏感数据的机会就越大。虽然安全Shell协议本身仍然是安全的,但有效的风险缓解策略必须包括有效的密钥创建、部署和管理实践。审计师和黑客都将在未来几年密切关注这个问题。现在是组织机构采取同样行动的时候了。
关于作者
Ylönen在1995年发布了第一个安全Shell版本的开源,以响应来自他的公司的密码被盗密码嗅探事件。开源版本最终成为了OpenSSH等。他于1995年创立SSH Communications Security所围绕打造该协议的商业安全解决方案。如今,公司为多家世界十大银行的一半,世界500个强企业的40%,重点管理安全Shell基于密钥和特权。它也是世界上最广泛使用的商用安全Shell执行制片人。Ylönen是公司的首席创新官,下一代密钥管理解决方案,将通过易用性和巨大的可扩展的改变市场的工作。他拥有大约50美国和国际专利。
大肚最初起草了NIST IR 7966的指导方针,已经与世界上一些最大的企业的几个大型重点管理项目的工作后。在某种程度上,工作是基于与IETF(互联网工程任务组)发布的早期互联网草案。NIST和众多评论家的Murugiah Souppaya Venafi的保罗·特纳,Scarfone网络安全的Karen Scarfone,也显著促成了多次修订