NIST kiberdrošības sistēma
NIST kiberdrošības sistēma, kas pazīstama arī kā “Kritiskās infrastruktūras kiberdrošība”, piedāvā plašu noteikumu izkārtojumu, norādot, kā organizācijas var kontrolēt kibernoziedzniekus. NIST CSF sastāv no trim galvenajiem komponentiem:
- Kodols: Liek organizācijām pārvaldīt un samazināt savu kiberdrošības risku.
- Ieviešanas līmenis: Palīdz organizācijām, sniedzot informāciju par organizācijas perspektīvu kiberdrošības riska pārvaldībā.
- Profils: Organizācijas unikālā prasību, mērķu un resursu struktūra.
Ieteikumi
Tālāk ir iekļauti ieteikumi un ieteikumi, ko NIST sniedza nesen pārskatot paroļu vadlīnijas.
- Rakstzīmju garums: Organizācijas var izvēlēties paroli, kuras minimālais rakstzīmju garums ir 8, taču NIST ļoti iesaka iestatīt paroli, kas nepārsniedz 64 rakstzīmes.
- Neautorizētas piekļuves novēršana: Gadījumā, ja nepiederoša persona ir mēģinājusi pieteikties jūsu kontā, ieteicams paroli pārskatīt, ja mēģināt nozagt paroli.
- Kompromiss: Kad mazas organizācijas vai vienkārši lietotāji sastopas ar nozagtu paroli, viņi parasti nomaina paroli un aizmirst notikušo. NIST iesaka uzskaitīt visas tās paroles, kas tiek nozagtas pašreizējai un turpmākai izmantošanai.
- Padomi: Izvēloties paroles, ignorējiet padomus un drošības jautājumus.
- Autentifikācijas mēģinājumi: NIST stingri iesaka ierobežot autentifikācijas mēģinājumu skaitu neveiksmes gadījumā. Mēģinājumu skaits ir ierobežots, un hakeriem būtu neiespējami izmēģināt vairākas paroļu kombinācijas, lai pieteiktos.
- Kopēt un ielīmēt: NIST iesaka paroļu laukā vadītāju ērtībai izmantot ielīmēšanas iespējas. Pretēji tam iepriekšējās vadlīnijās šī pastas iekārta nebija ieteicama. Paroļu pārvaldnieki izmanto šo ielīmēšanas iespēju, kad pieejamo paroļu iekļūšanai jāizmanto viena galvenā parole.
- Kompozīcijas noteikumi: Rakstzīmju kompozīcija var izraisīt gala lietotāja neapmierinātību, tāpēc ieteicams šo sastāvu izlaist. NIST secināja, ka lietotājs parasti neinteresējas paroles iestatīšanai ar rakstzīmju sastāvu, kas rezultātā vājina viņu paroli. Piemēram, ja lietotājs savu paroli iestata kā “laika skalu”, sistēma to nepieņem un lūdz lietotāju izmantot lielo un mazo burtu kombināciju. Pēc tam lietotājam ir jāmaina parole, ievērojot sistēmā iestatītā sastādīšanas noteikumus. Tāpēc NIST iesaka izslēgt šo prasību par sastāvu, jo organizācijām var rasties nelabvēlīga ietekme uz drošību.
- Rakstzīmju izmantošana: Parasti paroles, kurās ir atstarpes, tiek noraidītas, jo vieta tiek skaitīta, un lietotājs aizmirst atstarpes raksturu (-us), padarot paroli grūti iegaumējamu. NIST iesaka izmantot jebkuru lietotāja vēlamu kombināciju, kuru var vieglāk iegaumēt un atsaukt, kad vien nepieciešams.
- Paroles maiņa: Biežas paroļu izmaiņas galvenokārt tiek ieteiktas organizācijas drošības protokolos vai jebkura veida parolēs. Lielākā daļa lietotāju izvēlas vienkāršu un atmiņā iegaumējamu paroli, kas jāmaina tuvākajā nākotnē, lai ievērotu organizāciju drošības vadlīnijas. NIST iesaka nemainīt paroli bieži un izvēlēties pietiekami sarežģītu paroli, lai to varētu palaist ilgu laiku, lai apmierinātu lietotāja un drošības prasības.
Ko darīt, ja parole ir apdraudēta?
Hakeru iecienītākais darbs ir pārkāpt drošības barjeras. Šim nolūkam viņi strādā, lai atklātu novatoriskas iespējas iziet cauri. Drošības pārkāpumiem ir neskaitāmas lietotājvārdu un paroļu kombinācijas, lai pārvarētu jebkuru drošības barjeru. Lielākajai daļai organizāciju ir arī hakeriem pieejamo paroļu saraksts, tāpēc tās bloķē jebkuru paroļu izvēli no paroļu sarakstu kopas, kas ir pieejams arī hakeriem. Paturot prātā to pašu problēmu, ja kāda organizācija nevar piekļūt paroļu sarakstam, NIST ir sniegusi dažas vadlīnijas, kuras paroļu sarakstā var iekļaut:
- To paroļu saraksts, kuras iepriekš ir pārkāptas.
- Vienkārši vārdi, kas izvēlēti no vārdnīcas (piemēram,.g., "satur", "pieņemts" utt.)
- Paroles rakstzīmes, kas satur atkārtošanos, sērijas vai vienkāršu sēriju (piemēram,.g. "cccc", "abcdef" vai "a1b2c3").
Kāpēc jāievēro NIST vadlīnijas?
NIST sniegtajās vadlīnijās tiek ņemti vērā galvenie drošības draudi, kas saistīti ar paroļu uzlaušanu daudzām dažādu veidu organizācijām. Labi ir tas, ka, ja viņi novēro jebkuru hakeru izraisītu drošības barjeras pārkāpumu, NIST var pārskatīt savas paroļu vadlīnijas, kā tas ir darīts kopš 2017. gada. No otras puses, citi drošības standarti (piemēram,.g., HITRUST, HIPAA, PCI) neatjaunina un nepārskata viņu sniegtās sākotnējās pamatnostādnes.