網(wǎng)絡攻擊這件事，不是會不會發(fā)生的問題，而是何時發(fā)生的問題了。盡管如此，當數(shù)據(jù)泄露事件發(fā)生時，組織往往還是會措手不及；而且安全團隊不是把重點放在降低風險以及防止組織進一步受損上，而是忙于處理那些原本可以提前主動做好準備的任務。

因此，組織應當事先做好那些可以做好的準備，以便在安全事件發(fā)生時能夠迅速且全面地做出反應。具備執(zhí)行大規(guī)模密碼重置的能力就是其中一項。

倫敦交通局3萬名員工密碼重置背后的啟示

2024年9月初，負責倫敦大部分交通網(wǎng)絡的倫敦交通局遭遇了一次嚴重的網(wǎng)絡攻擊事件，導致運營大面積中斷。攻擊者成功迫使倫敦交通局關停了多項業(yè)務，以限制他們進一步侵入；此外，隨著倫敦交通局為保障其用戶賬戶安全開展大規(guī)模行動，信息技術方面也陷入了普遍的混亂狀態(tài)。

倫敦交通局的客戶和員工都受到了這一事件的影響。攻擊導致大量乘客的個人信息泄露，包括姓名、聯(lián)系方式、電子郵件地址和家庭住址等。此外，攻擊者還可能訪問了約5000名客戶的銀行賬戶信息和Oyster卡退款數(shù)據(jù)。不僅如此，由于員工賬戶也被攻破，倫敦交通局的許多員工對系統(tǒng)的訪問權限因此受限，進而延誤了在線咨詢回復等業(yè)務。

倫敦交通局采取的應對措施之一，是3萬名員工賬戶密碼的人工、當面重置。員工需要親自到場進行密碼重置預約。這項由倫敦交通局集中管理的、艱巨的工作安排，目的是讓員工能夠重新獲得對應用程序和數(shù)據(jù)的訪問權限。

那么，除了每個人都到信息技術團隊那里當面重置密碼之外，還有什么別的辦法呢？部署自助式密碼重置解決方案是當前較為明智的一個選擇。

很多時候都可能要大規(guī)模重置賬戶密碼

倫敦交通局的網(wǎng)絡攻擊事件凸顯了制定強有力的安全措施的重要性，特別是部署自助式密碼重置解決方案。因為盡管倫敦交通局遭遇的是一次有針對性的攻擊，但在當前網(wǎng)絡安全態(tài)勢日益嚴峻的背景下，各種組織都難免會成為不加選擇的勒索軟件攻擊或隨機網(wǎng)絡釣魚攻擊的受害者，面臨大量賬戶被攻破的風險。

攻擊者通過各種威脅途徑來未經(jīng)授權訪問組織的系統(tǒng)和網(wǎng)絡，通常都是從被攻破的用戶賬戶入手，將其作為進入特權環(huán)境的切入點。安全團隊可能并不清楚攻擊者已經(jīng)滲透到其系統(tǒng)的何種程度，但一旦檢測到哪怕只是少數(shù)幾個被攻破的賬戶，就可能要決定對所有用戶賬戶進行大規(guī)模密碼重置。

這很可能會造成一定程度的干擾以及運維負擔，但在各類安全事件處置策略中都強烈推薦這么做。以下是一些可能需要進行大規(guī)模密碼重置的常見場景：

• 在暗網(wǎng)上檢測到大量企業(yè)郵箱賬戶憑據(jù)；
• 云服務或第三方身份/訪問管理服務遭到入侵；
• 根賬戶、域管理員賬戶或特權賬戶及群組被攻破；
• 全組織范圍的勒索軟件攻擊；
• 由已知的國家行為體或高級持續(xù)性威脅（APT）實施的網(wǎng)絡攻擊。

比如，滑鐵盧大學的微軟Exchange電子郵件服務遭到勒索軟件攻擊，導致4.2萬人的密碼都要重置，其中包括教職工、在職/非在職研究生、本科生以及所有其余學生。

大規(guī)模密碼重置不僅是網(wǎng)絡攻擊和數(shù)據(jù)泄露發(fā)生后所需采取的措施，而且可以作為持續(xù)降低賬戶被攻破以及安全事件風險的預防措施。作為組織密碼策略的一部分，終端用戶可能出于多種原因需要更改密碼。

然而，在全組織范圍內(nèi)實施密碼重置很可能會擾亂關鍵工作，并引發(fā)可能讓信息技術服務中心不堪重負的運維問題。

借助自助式密碼，終端用戶將能夠安全且獨立地重置他們的密碼并修改本地存儲的登錄信息，無需使用虛擬專用網(wǎng)絡（VPN）。這也極大地減輕了信息技術團隊和服務臺的負擔。

自助式密碼重置方案選擇要點

隨著自助式密碼重置需求的不斷提升，市場上也出現(xiàn)了解決方案。這些方案各有千秋，以下為部分較受關注的自助式密碼重置解決方案：

• ManageEngine ADSelfService Plus：具備全面的功能以及良好的集成選項，但在針對非 Windows 賬戶的密碼重置方面可能存在一定限制；
• Specops uReset：因其靈活的多因素身份驗證選項以及實時密碼策略指導而聞名，適用于多種用戶環(huán)境；
• 微軟 Entra（Azure AD）：對于已經(jīng)在使用微軟服務的組織來說是最佳選擇，但可能缺少一些在專用自助式密碼重置解決方案中才有的高級功能；
• FASTPASS SSPR：具有在幫助臺進行安全用戶驗證的流程；
• Avatier Password Station：良好的報告功能，支持某些應用程序密碼；
• NetIQ SSPR：易于實施，缺少對某些常用MFA和應用程序密碼的支持。

那么，究竟如何在復雜的產(chǎn)品與需求中找到最佳匹配？安全牛建議，在選擇自助式密碼重置（SSPR）解決方案時，應該重點關注以下幾個考量因素：

1.集成能力

確保自助式密碼重置解決方案能與現(xiàn)有的系統(tǒng)（如活動目錄、云服務以及其他身份管理工具）無縫集成。與微軟 Azure Active Directory（Azure AD）或輕量級目錄訪問協(xié)議（LDAP）目錄等平臺的兼容性對于順暢運行至關重要。

2.用戶體驗

界面應當便于用戶使用，要讓員工無需經(jīng)過大量培訓就能輕松重置他們的密碼。尋找那些在密碼重置過程中能提供實時反饋的解決方案，以盡量減少錯誤出現(xiàn)。

3.驗證方法

評估所提供的多因素身份驗證（MFA）選項的范圍。一個可靠的自助式密碼重置解決方案應當支持多種驗證方法，包括短信、電子郵件、安全問題以及像 Okta 或 Duo 這樣的第三方驗證應用程序。

4.安全特性

安全至關重要；選擇那些具備強大加密功能且符合行業(yè)標準的解決方案。諸如動態(tài)密碼策略顯示之類的功能能夠引導用戶創(chuàng)建安全的密碼，降低用戶選擇弱密碼的可能性。

5.本地化與語言支持

如果組織在多個地區(qū)開展業(yè)務，要考慮自助式密碼重置工具內(nèi)語言支持的可用情況。這能確保所有用戶都能輕松操作該系統(tǒng)。

6.服務臺集成

檢查自助式密碼重置解決方案與服務臺系統(tǒng)集成的程度。一種能夠方便地將問題升級轉交給信息技術支持團隊的解決方案可以提升整體效率以及用戶滿意度。

7.可擴展性

確保自助式密碼重置解決方案能夠隨著所在組織的發(fā)展而擴展。它應當能應對不斷增加的用戶數(shù)量，同時又不影響性能或安全。

8.供應商支持與聲譽

調(diào)研供應商的聲譽以及客戶支持選項?？煽康募夹g支持對于迅速解決問題并將停機時間減到最少來說至關重要。

倫敦交通局的遭遇猶如一記警鐘。它讓我們深刻認識到，網(wǎng)絡攻擊的陰影隨時可能籠罩任何一個組織。讓我們以倫敦交通局事件為契機，重新審視和加固我們的密碼安全防線，為構建一個更加安全可靠的網(wǎng)絡環(huán)境而共同努力。