Salesforce安全纵横谈之从密码到仿生小马

在本星期开幕的云计算及企业技术梦幻力量(Dreamforce)大会之上,Salesforce.com针对安全问题给出了几种内容非常大胆的具体说法。举例来说,该公司声称自身可以在漏洞被发现的24小时之内就完成全部修复工作。尽管我们依然认为这可能需要取决于漏洞的具体情况,但该公司却坚持认为安全问题就需要在内部完全消化。

实际上,该公司已经在内部建立起一支竭尽全力展开攻击的渗透测试团队。这些全职测试人员的所有职责就是积极主动地寻找到内部潜在的风险;此外,公司还将拥有访问用户口令数据库权限的员工总人数限制在20名之内。

通过将实际安全策略应用到正在工作的内部员工之上,该公司造就出了一个非常有趣的基准。

实际上,公司所采取的某些安全测试就属于非常有创意的类型。在苹果公司刚刚宣布推出iPad 3平板计算机的时间,这支安全团队就利用包含有折扣价格的危险电子邮件进行了一次内部网络钓鱼攻击。结果,所有点击该连接的开发人员最终发现自己所签署的文件是一份参与另一场安全培训项目的同意书,这样的结果让他们明白到最好的选择应当是不要盲目跟从。

或许,所有安全措施中最有创意的一种就是这匹拥有运动检测器的仿生小马。通常情况下,它会漫步在首席信用官帕特里克·海姆斯办公桌的后面,在他正埋头工作的时间还会试图从背后进行偷窥;除此之外,小马将可以选择利用大声嘶叫、小声嘶鸣以及摇摆自己的脑袋等常见动作来吸引到周围人群的注意力。

对于该公司来说,由于确保安全的关键之处就在于开发以及维护Salesforce.com平台的运行,因而选择将安全策略应用到正在工作的内部员工之上就可以建立起一个非常有趣的基准。尽管这家号称要“摆脱软件”的公司确实还在使用软件,但涉及到的具体数目却是非常有限的情况。

所有应用程序都需要获得白名单的支持才能投入使用

尽管员工可以选择的系统有微软Windows、苹果Mac以及Linux等类型,但只有位于白名单之中的应用程序才会被容许运行。这就意味着,所有情况不明、未经批准的程序——无论使用者认为它们的作用会有多么大——除非已经获得了白名单的认可为止,否则都会被直接禁止运行。

此外,公司已经对所配发的全部笔记本以及便携式计算机安装的磁盘进行过全盘加密处理,并且绝对不容许在企业网络中使用个人自带设备。而对于需要使用个人平板计算机的用户,公司的做法是专门提供了一张单独的无线网络,并且涉及到的所有个人工作以及管理用设备都被禁止连接官方网络资源上。

按照公司的要求,使用的所有密码都需要至少12个字符,并且还将会强制执行复杂密码策略。毕竟,GPU加速模式加上已经从成百万的泄露事件以及大量不同攻击中认识到人们所使用密码类型的黑客构成的完美组合,可以轻松做到在短短一秒钟之内就测试完数亿个不同的潜在密码。

而这就意味着短短8个字符的密码长度将完全无法达到最基本的安全要求。尽管理论上来看,如果仅仅依靠暴力破解的话,攻击者依然需要大约19天的时间才能完成全部工作;但如果考虑到公众对于密码模式的有限认识的话,就意味着Mary1234之类的密码在不到90秒的时间内就会被完全破解出来。海姆斯进一步指出,这就相当于所有8个字符长度的密码几乎都会在24小时之间被完全破解掉。因此,尽管较长的密码可能会给使用者带来令人讨厌的感觉,但如果不强制这么做的话,就肯定会给系统造成潜在的漏洞。

换句话说,如果员工所选择的密码未能满足上面提出的各项要求,是不是就应当需要仿生小马盯着他们发出一声长嘶来作为事前的提醒?