网络攻击这件事,不是会不会发生的问题,而是何时发生的问题了。尽管如此,当数据泄露事件发生时,组织往往还是会措手不及;而且安全团队不是把重点放在降低风险以及防止组织进一步受损上,而是忙于处理那些原本可以提前主动做好准备的任务。

因此,组织应当事先做好那些可以做好的准备,以便在安全事件发生时能够迅速且全面地做出反应。具备执行大规模密码重置的能力就是其中一项。

伦敦交通局3万名员工密码重置背后的启示

2024年9月初,负责伦敦大部分交通网络的伦敦交通局遭遇了一次严重的网络攻击事件,导致运营大面积中断。攻击者成功迫使伦敦交通局关停了多项业务,以限制他们进一步侵入;此外,随着伦敦交通局为保障其用户账户安全开展大规模行动,信息技术方面也陷入了普遍的混乱状态。

伦敦交通局的客户和员工都受到了这一事件的影响。攻击导致大量乘客的个人信息泄露,包括姓名、联系方式、电子邮件地址和家庭住址等。此外,攻击者还可能访问了约5000名客户的银行账户信息和Oyster卡退款数据。不仅如此,由于员工账户也被攻破,伦敦交通局的许多员工对系统的访问权限因此受限,进而延误了在线咨询回复等业务。

伦敦交通局采取的应对措施之一,是3万名员工账户密码的人工、当面重置。员工需要亲自到场进行密码重置预约。这项由伦敦交通局集中管理的、艰巨的工作安排,目的是让员工能够重新获得对应用程序和数据的访问权限。

那么,除了每个人都到信息技术团队那里当面重置密码之外,还有什么别的办法呢?部署自助式密码重置解决方案是当前较为明智的一个选择。

很多时候都可能要大规模重置账户密码

伦敦交通局的网络攻击事件凸显了制定强有力的安全措施的重要性,特别是部署自助式密码重置解决方案。因为尽管伦敦交通局遭遇的是一次有针对性的攻击,但在当前网络安全态势日益严峻的背景下,各种组织都难免会成为不加选择的勒索软件攻击或随机网络钓鱼攻击的受害者,面临大量账户被攻破的风险。

攻击者通过各种威胁途径来未经授权访问组织的系统和网络,通常都是从被攻破的用户账户入手,将其作为进入特权环境的切入点。安全团队可能并不清楚攻击者已经渗透到其系统的何种程度,但一旦检测到哪怕只是少数几个被攻破的账户,就可能要决定对所有用户账户进行大规模密码重置。

这很可能会造成一定程度的干扰以及运维负担,但在各类安全事件处置策略中都强烈推荐这么做。以下是一些可能需要进行大规模密码重置的常见场景:

  • 在暗网上检测到大量企业邮箱账户凭据;

  • 云服务或第三方身份/访问管理服务遭到入侵;

  • 根账户、域管理员账户或特权账户及群组被攻破;

  • 全组织范围的勒索软件攻击;

  • 由已知的国家行为体或高级持续性威胁(APT)实施的网络攻击。

比如,滑铁卢大学的微软Exchange电子邮件服务遭到勒索软件攻击,导致4.2万人的密码都要重置,其中包括教职工、在职/非在职研究生、本科生以及所有其余学生。

大规模密码重置不仅是网络攻击和数据泄露发生后所需采取的措施,而且可以作为持续降低账户被攻破以及安全事件风险的预防措施。作为组织密码策略的一部分,终端用户可能出于多种原因需要更改密码。

然而,在全组织范围内实施密码重置很可能会扰乱关键工作,并引发可能让信息技术服务中心不堪重负的运维问题。

借助自助式密码,终端用户将能够安全且独立地重置他们的密码并修改本地存储的登录信息,无需使用虚拟专用网络(VPN)。这也极大地减轻了信息技术团队和服务台的负担。

自助式密码重置方案选择要点

随着自助式密码重置需求的不断提升,市场上也出现了解决方案。这些方案各有千秋,以下为部分较受关注的自助式密码重置解决方案:

  • ManageEngine ADSelfService Plus:具备全面的功能以及良好的集成选项,但在针对非 Windows 账户的密码重置方面可能存在一定限制;

  • Specops uReset:因其灵活的多因素身份验证选项以及实时密码策略指导而闻名,适用于多种用户环境;

  • 微软 Entra(Azure AD):对于已经在使用微软服务的组织来说是最佳选择,但可能缺少一些在专用自助式密码重置解决方案中才有的高级功能;

  • FASTPASS SSPR:具有在帮助台进行安全用户验证的流程;

  • Avatier Password Station:良好的报告功能,支持某些应用程序密码;

  • NetIQ SSPR:易于实施,缺少对某些常用MFA和应用程序密码的支持。

那么,究竟如何在复杂的产品与需求中找到最佳匹配?安全牛建议,在选择自助式密码重置(SSPR)解决方案时,应该重点关注以下几个考量因素:

1

集成能力

确保自助式密码重置解决方案能与现有的系统(如活动目录、云服务以及其他身份管理工具)无缝集成。与微软 Azure Active Directory(Azure AD)或轻量级目录访问协议(LDAP)目录等平台的兼容性对于顺畅运行至关重要。

2

用户体验

界面应当便于用户使用,要让员工无需经过大量培训就能轻松重置他们的密码。寻找那些在密码重置过程中能提供实时反馈的解决方案,以尽量减少错误出现。

3

验证方法

评估所提供的多因素身份验证(MFA)选项的范围。一个可靠的自助式密码重置解决方案应当支持多种验证方法,包括短信、电子邮件、安全问题以及像 Okta 或 Duo 这样的第三方验证应用程序。

4

安全特性

安全至关重要;选择那些具备强大加密功能且符合行业标准的解决方案。诸如动态密码策略显示之类的功能能够引导用户创建安全的密码,降低用户选择弱密码的可能性。

5

本地化与语言支持

如果组织在多个地区开展业务,要考虑自助式密码重置工具内语言支持的可用情况。这能确保所有用户都能轻松操作该系统。

6

服务台集成

检查自助式密码重置解决方案与服务台系统集成的程度。一种能够方便地将问题升级转交给信息技术支持团队的解决方案可以提升整体效率以及用户满意度。

7

可扩展性

确保自助式密码重置解决方案能够随着所在组织的发展而扩展。它应当能应对不断增加的用户数量,同时又不影响性能或安全。

8

供应商支持与声誉

调研供应商的声誉以及客户支持选项。可靠的技术支持对于迅速解决问题并将停机时间减到最少来说至关重要。

伦敦交通局的遭遇犹如一记警钟。它让我们深刻认识到,网络攻击的阴影随时可能笼罩任何一个组织。让我们以伦敦交通局事件为契机,重新审视和加固我们的密码安全防线,为构建一个更加安全可靠的网络环境而共同努力。

合作电话:18311333376

合作微信:aqniu001