来自 CC防护 2021-02-08 14:13 的文章

cc攻击防御_怎么防_CC防护哪里好

cc攻击防御_怎么防_CC防护哪里好

作为我们对网络安全认知与现实的研究的一部分,我们与位于加拿大的网络安全知识动员网络Serene risc合作,就网络安全专业人士的认知和实践开展了一项调查。。调查的目的是了解维权者如何看待具体的安全措施,以及这些措施是否在各自的组织中得到实施。然后,我们将调查结果与我们的渗透测试经验结合起来,面对两种观点:防御者和五分之一,后者代表真正的攻击者。这篇博文总结了与密码策略相关的结果。下载完整的网络安全感知与现实报告,也有法文版。维护者:重要性与实施有趣的是,我们注意到,关于定期密码更改的数据有两个趋势:43.7%的人认为定期更改密码(例如每90天一次)应该是最低要求,而另43.7%的受访者则相反:不更改或很少更改密码(一年一次或两次或怀疑密码泄露时)应该是最低要求要求。有些人同时选择了这两个选项。这种结果上的差异可以解释为强制更改密码是一把双刃剑:它可以减轻潜在的泄露密码,但似乎也不受用户的欢迎,用户最终会找到更简单的密码,或在以前的密码基础上增加一个数字以绕过此安全策略。""人类接受"安全特性对于它的有效性至关重要:如果最终用户不喜欢安全控制,他们总会找到绕过它的方法。下面你会发现一个好的,不幸的是真实的故事,由我们的一个五旬节讲述,关于一个用户如何绕过了密码安全功能:"密码策略阻止用户设置以前使用过的密码。最后6个密码中的任何一个都被阻止了。为了规避这一策略,用户可以连续更改密码六次(在短时间内),然后返回到他们最喜欢的密码。每三个月就有一个人这样做,这样密码就永远是他/她的猫的名字。"此外,受访者还被问及,作为安全专家,他们工作的组织是否符合他们刚刚选定的最低密码策略要求。回答的分布如图1所示,表明17.2%的人说不,23.3%的人说部分,59.5%的人说是。尽管相当乐观,但这与我们所有五旬节的经验相悖,正如下面的讨论所解释的那样。图1组织会议密码最小值彭特斯的经验:密码是最薄弱的环节渗透测试人员通常使用两种技术来破坏系统的密码:密码喷洒和密码破解。密码喷洒包括在大量帐户上尝试一个流行的密码,然后找到最薄弱的环节:具有可猜密码的帐户。一般来说,在进行此类攻击时,penters有一个"全明星密码"列表。此列表包含简单的密码,如Password123、Welcome1、Letmein1、SeasonYear和Companyname123。在对公司进行密码喷洒时,ddos防御模拟,pentesters平均有25%的成功率。另一方面,密码破解要求penters能够访问编码/散列密码的列表(可能通过各种攻击,如LLMNR欺骗),并尝试通过对已知密码列表进行编码/散列并根据泄露列表对其进行测试来查找纯文本密码。在这种情况下,pentesters发现,在20%的时间里,蠕虫病毒,密码有名字和四个数字,比如Julia1984,4-5%的时间,密码带有粗俗的单词(你可以猜出例子),网站ddos防御,还有4-5%的时间密码里有假期的单词,比如BeachCuba1。当执行密码破解时,pentesters报告说在大多数情况下至少成功地找到了一个密码。此外,dns防御ddos,在密码审核中,他们试图破解用户帐户数据库中的密码哈希,通常是在渗透测试中发现的,他们报告说,他们能够恢复企业高达98.3%的密码。由于图形处理单元(gpu)在过去十年中的巨大进步,这使得这一点成为可能,而且相对来说是可以负担得起的,这是用来破解密码的。因此,ddos防御问题,当60%的受访者表示,他们的公司符合良好密码政策的最低要求时,似乎与我们的pentesters的经验不符。这可能是因为诸如CompanyName2019*之类的密码确实满足良好的基本密码策略的要求,但渗透测试人员知道这些不同的变化,并在破解密码时利用它们。此外,一个用户在大量用户池中拥有此密码的可能性很高。专业提示良好的密码执行实践作为读者的参考,我们提供了一些有关在公司网络上实施良好密码策略的专业提示。阻止任何与公司相关的单词(例如,使用密码过滤器),即使密码中添加了特殊字符或数字。如果需要,您可以使用Microsoft的密码过滤功能。与员工沟通,密码不应与社交网络(如Facebook、LinkedIn或Instagram)上公开的有关他们的信息有关。戊酯经常在进行外部测试时使用这些信息。当发生安全事件或外部人员访问active directory用户数据库时,在整个网络上强制更改密码,包括服务帐户,最重要的是krbtgt帐户,它是active directory中功能最强大的服务帐户。考虑连续的密码审核活动,以主动跟踪任何潜在的弱密码。例如,定期提取用户数据库,尝试破解他们的密码哈希,并对所有成功破解的哈希值强制更改密码,这是一种有效的附加做法。结论这些发现是《网络安全认知与现实》报告的一部分,该报告强调了一项为期两年的研究的主要结果,该研究旨在了解维护者如何看待其实施的安全控制措施的价值之间存在的脱节,以及渗透测试人员作为潜在攻击者利用的最常见的攻击向量。报告有法文版,调查的微观数据可在网上查阅。