Allbet Gmaing开户

欢迎进入Allbet Gmaing开户(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

隐私治理在保持需要信息的平安和远离攻击者方面起着主要的作用,本文我们就将讨论什么是隐私以及若何平安地存储它们。

隐私治理之以是主要,是由于密码泄露可能导致严重的数据泄露,随着越来越多的事情数据被保留在云端,身份验证的平安就愈发主要了。

隐私治理在保持需要信息的平安和远离攻击者方面起着主要的作用,优越保密的隐私,如密码和其他身份验证凭证,在理想情形下允许准确的职员接见主要资产,并将组织受到攻击的可能性降至最低。然而,隐私也可能是一把双刃剑,尤其是当隐私并没有像组织愿意信托的那样隐藏得很好时。

隐私是什么?

在本文中,术语“隐私”涉及用于接见需要身份验证的系统的敏感信息,这包罗登录凭证,如用户名、电子邮件地址和密码,以及接见令牌和私钥。SolarWinds的破绽提供了一个很好的例子,说明晰隐私是何等懦弱,由于攻击涉及使用弱密码。

密码强度

密码强度可以通过其长度和所使用字母的巨细来权衡。使用这些值,我们可以盘算暴力攻击所需的最大展望数。理论上,最大展望次数界说为xy, x示意字母中的字符数,y示意密码中使用的字母数,其效果将是成百上千亿种可能的组合。

然而,这种盘算也有破例。当使用字典里的通俗单词时,密码就更容易被猜出来了。一样平常来说,当密码从一个更厚实的字母中使用更多的随机字符时,它会变得更平安。此外,每次重复使用密码都市降低平安性。


破解给定长度的密码所需的最大暴力实验次数

不幸的是,长而强的密码需要记着一长串随机字符,这对用户来说自然是一个挑战,稀奇是思量到多个帐户时。


攻击者使用的密码字典的示例

纵然用户记着了一个冗长的密码,四处使用它的倾向也会削弱它的强度。密码重用是另一个平安风险。在泛起破绽的情形下,重用的密码会危及其他服务,从而导致更大的影响。

虽然壮大的密码仍然很主要,但我们不得不质疑,这些类型的隐私是否是我们唯一可靠的方式来珍爱接见要害义务资产和系统。密码验证方式是登录的唯一方式吗?

替换密码

幸运的是,有替换密码的方式。例如,使用非对称加密和私钥举行身份验证已经成为平安Shell (SSH)服务的尺度,这极大地限制了隐私被暴力展望的风险,并强制要求适当的隐私存储。

虽然这种方式仍然需要一个令牌来验证用户身份,但它对人类影象的依赖要小得多。例如,我们还可以使用vault,它将存储凭证并提供天生隐私的工具。这些工具还可以防止确立弱密码和密码重用。

虽然它制止了使用自力密码的缺陷,但在集中式存储解决方案中保留隐私会带来所有凭证和密码在一次入侵中被损坏的风险,并强调了将此类存储视为vault的需要性。确保对这个vault的接见是至关主要的,强烈建议使用生物识别或多因素认证(MFA)授权作为分外的平安措施。

MFA自己显著降低了被盗的几率,纵然账户的凭证已经露出,由于它需要通过移动应用程序举行另一种身份验证。用户的手机和他们的隐私被露出的概率显著降低。


若那边理隐私

到期的隐私

若是你一直使用电脑,你可能在一段时间后被迫更改密码。虽然有些人以为这是一种未便,但让隐私过时有一个很好的理由。隐私可以在一段时间后被破解,它们的有用期越长,一些攻击者就越有可能乐成地找到方式窃取并泄露数据。

隐私存储的类型

现在让我们来谈谈存储隐私的差异方式。正如我们前面提到的,隐私存储应该被看成虚拟vault来处置,因此也就平安了,由于破解它将允许攻击者接见密码和与它们相关的账户。

事情流程中必须相互通讯的系统数目正在增添。它们必须平安地这样做,而且必须首先对来自其用户的每个请求举行身份验证。若是用户不想每次都输入凭证,或者仅仅记着凭证是不现实的,那么必须存储凭证。

有多种方式可以存储凭证:

1.明文:最不平安的类型,其中对文件的读接见将允许对系统的接见。

2.哈希:主要用于服务器存储隐私指纹的类型,防止入侵者获得明文密码。在这种方式中,研究职员强调在加密算法之上使用盐值或另一个哈希层,以使潜在的攻击者更难明密。

3.Encoded:另一种形式的明文,例如base64编码的凭证,由于有不能读的字符。

4.加密:凭证使用另一个密码加密,削减了未经授权的泄露的可能性和影响。若是不先知道另一个隐私,一个能看到加密文件的人将无法解密文件并获得所需的凭证。

从以上这四种类型中,很容易推断出哪一种是最有利和最平安的存储隐私。然而,除了这四种类型之外,当存储凭证时,组织还必须思量其他可能影响其设计的因素。

其他需要思量的申请

处置隐私存储的一种方式是使用一个外部应用程序,好比vault。Vault 是隐秘接见私密信息的工具,可以帮你治理一些私密的信息,好比 API 密钥,密码,验证等等。Vault 提供一个统一的接口来接见所有隐私信息,同时提供严酷的接见控制和纪录详细的审计日志。vault的主要优势在于它以加密的形式存储隐私的方式,以及它能够从一个地方更改隐私,并在不更改代码的情形下将更改反映到多个应用程序。

然则,对vault的接见令牌必须存储在装备上或动态获取。在后一种情形中,通过MFA确认的动态接见令牌是最合适的。因此,MFA不是所有情形下的最佳选择,稀奇是对于高度自动化的系统。

明文加密的问题

并不是每个隐私存储应用程序在默认情形下都以加密形式存储凭证,文档应该验证存储的隐私是否加密,还应该检查它们,以防止行使错误设置问题。

在某些情形下,以明文存储隐私被以为是一个破绽。一样平常来说,明文是一种不平安且糟糕的设计决议,应该重新思量。我们后面关于DevOps和云问题的许多讨论也是围绕明文睁开的。

Allbet电脑版下载

欢迎进入Allbet电脑版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。


Kubernetes Secrets存储的示例,默认存储未加密

高度信托

最后,纵然隐私信息以加密的形式存储,组织仍然需要在其职员之间实现和维持一定水平的信托,这是由于某些人仍然需要知道或持有解密密钥。

种种组织都应知道,隐私必须只有少数人能接触到。这意味着只对有适当理由接见该存储或系统的用户或应用程序保持读取权限。对隐私举行加密会增添分外的平安性,攻击者不得不加倍起劲地破解凭证。

隐私传送

除了存储的隐私外,平安性对于必须设置和需要传输的服务也是需要的。需要强调的是,移动隐私信息是正常的,因此应该通过平安(即加密)通道举行说明和完成。

平安通道意味着使用默认平安的协议,例如SSH或HTTPS。使用基于纯文本的协议(如HTTP、SMTP、FTP)来传输隐私可以允许恶意攻击者阻挡通讯并行使泄露的隐私。

应该提到的是,将隐私放入源代码治理(SCM)系统中也不是一个好主意,由于它给了不需要的更多的人接见权限。涉及公共存储库的案例给SCM增添了另一层危险。若是一个组织坚持使用SCM,他们应该使用加密隐私的工具(例如,git-secret),以防止将SCM用作供应链攻击的入口点的可能性。

隐私的影响

接下来将探讨在当今开发手艺(即DevOps和云)的环境中使用不平安的隐私存储的寄义。我们还简要形貌了一个真实的场景,在这个场景中,攻击者在受熏染装备中寻找凭证。

隐私和DevOps

今天,大多数人已经习惯于将开发和“内陆”环境视为固有的平安性。例如以未加密的形式存储隐私、只设计在平安环境中运行的软件,以及默认情形下不加固平安特征。这为用户提供了分外的便利,由于它无需举行庞大的平安设置。然而,权衡的效果是,这些实践若何增添了发生平安事宜的风险。我们已经看到了供应链攻击、VPN平安微弱、VPN破绽等的影响。

同样主要的是要注重,“内陆”环境不再是内陆的,由于我们看到越来越多的公司正在转向云盘算。存储在使用硬件加密(HW)的装备上的明文隐私同时存储在毗邻到云的装备上。简而言之,无论是否在云中,以明文存储隐私都是不平安的。

举一个DevOps天下中的真实例子,Visual Studio Code直到最近才在其于2021年1月公布的版本1.5353中提供了对隐私存储的支持。在这次更新之前,没有官方的API可用来以更平安的方式存储隐私信息,因此,平安实现它是开发职员的责任。


一个以明文保留Twitter API隐私的扩展示例

在举行后续研究后,我们发现其他338个扩展也有同样的问题,明文存储隐私。这些第三方扩展包罗对多个云服务提供商(csp)和SCM系统的绑定。

除了这些问题之外,攻击者关注的是凭证获取,这将使Visual Studio Code用户很容易成为此类攻击的目的。

隐私和云威胁

随着越来越多的公司最先接纳云手艺,攻击者正在不停生长他们的有用载荷,并对云服务凭证举行有针对性的搜索。主要的是要思量若何通过使用差其余存储机制来增强平安性,稀奇是由于隐私信息通常以明文存储,由于用户以为拥有一个平安的环境是理所固然的。将隐私以明文形式露出出来,会让攻击者更容易窃取它们。当在云中举行操作时,组织必须凭证共享责任模子。纵然在云中,他们使用的凭证的平安性仍然是他们的责任。

正如我们前面提到的,在所有介入保密事情的职员之间实现高度的信托也是必不能少的。云提供商总是引用共享责任模子,这尤其适用于解决用户错误设置的情形。这种共享责任的态度是需要的,由于没有软件是100%平安的。例如,之前的一篇博客文章先容了攻击者在损坏一个实例后若何请求AWS元数据服务获取凭证或隐私信息。这突出了攻击者在损坏云实例以进一步攻击之后若何接见云实例上的凭证。


攻击后在AWS实例中获取凭证

此外,在一种更通用的方式中,CSP下令行工具在第一次设置时天生授权令牌,并将这些令牌以明文名堂存储在文件中或作为系统变量。知道了这个功效,攻击者就可以开发恶意软件,在侵入一个实例后搜索这些凭证令牌。凭证被盗凭证令牌的接见级别,攻击者可以继续举行攻击,并在内部流传更多的有用载荷。


获取多个CSP凭证

在剖析中,一个行为引起了我们的注重,那就是攻击者是若何在攻击的差异点最先使用本机CSP工具,而不是开发自己的工具或使用攻击。在这种情形下,凭证用户的设置,攻击者将具有与服务相同的授权。这种行为意味着他们正在学习内陆工具的所有可能选项和参数,并滥用它们。图7显示了他们的剧本用本机工具文档注释了行,这使我们以为攻击者正在动态学习。在Lambda这样的内部环境中,本机工具的使用是预先授权的,因此若是攻击者乐成地将工具上传到其中,他们将拥有与服务相同的权限。


攻击者使用内陆工具从受害者那里获取进一步的数据,目的是横向流传

真实攻击场景

下面要讲的是一个真实的攻击场景,它强调了适当的隐私存储的主要性。我们已经看到攻击者在受熏染的装备中寻找凭证,若是初始受熏染的装备在其系统中存储了其他装备的凭证,则使用能够熏染其他装备的恶意软件,不外条件是攻击者能够获得修改云服务的能力。


SSH凭证上的蠕虫行为示例

最近的一项考察还显示,攻击者正在顺应最新的手艺,并努力实验行使基础设施作为代码(IaC)软件,如Ansible、Chef和SaltStack工具,以将其有用载荷分配给尽可能多的装备。


使用IaC工具熏染治理下的基础设施

该视频展示了一个潜在的攻击者若何使用TeamTNT工具集的工具打破Docker容器。

珍爱隐私

到现在为止,组织必须熟悉到,隐私是若何在他们的把关角色中施展更深条理的主要作用的。这就是为什么我们最好假设攻击者总是在寻找揭破这些隐私的方式,并做好响应的准备。

组织不应该假设存储在云中的数据已经免受风险的珍爱,要使用特定于云的平安解决方案来珍爱他们的云原生系统。

本文翻译自:https://www.trendmicro.com/en_us/research/21/f/secure_secrets_managing_authentication_credentials.html 鄂尔多斯新闻网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:Allbet电脑版下载(www.aLLbetgame.us):身份验证凭证为何云云主要?
发布评论

分享到:

chia招商(www.chia8.vip):平均涨幅355%!科创板新股“肉签”扎堆 打新纪律变了
1 条回复
  1. USDT手机钱包(www.usdt8.vip)
    USDT手机钱包(www.usdt8.vip)
    (2021-09-12 12:41:39) 1#

    欧博亚洲手机版下载www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

    第一次看,讲的啥

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。