Okvir za kibernetsko varnost NIST
Okvir kibernetske varnosti NIST, znan tudi kot »Kibernetska varnost kritične infrastrukture«, predstavlja široko ureditev pravil, ki določajo, kako lahko organizacije nadzorujejo kiber kriminalce. CSF NIST je sestavljen iz treh glavnih komponent:
- Jedro: Organizacije vodi k upravljanju in zmanjševanju tveganj kibernetske varnosti.
- Stopnja izvajanja: Pomaga organizacijam z zagotavljanjem informacij o njenem pogledu na obvladovanje tveganj kibernetske varnosti.
- Profil: Edinstvena struktura organizacijskih zahtev, ciljev in virov.
Priporočila
Sledijo predlogi in priporočila, ki jih je NIST podal v nedavni reviziji smernic za gesla.
- Dolžina znakov: Organizacije lahko izberejo geslo z dolžino najmanj 8 znakov, vendar NIST priporoča, da nastavite geslo z največ 64 znaki.
- Preprečevanje nepooblaščenega dostopa: V primeru, da se je nepooblaščena oseba poskušala prijaviti v vaš račun, je priporočljivo revidirati geslo v primeru poskusa kraje gesla.
- Ogroženo: Ko majhne organizacije ali preprosti uporabniki naletijo na ukradeno geslo, običajno spremenijo geslo in pozabijo, kaj se je zgodilo. NIST predlaga, da navedete vsa gesla, ki so bila ukradena za sedanjo in prihodnjo uporabo.
- Namigi: Pri izbiri gesel prezrite namige in varnostna vprašanja.
- Poskusi preverjanja pristnosti: NIST močno priporoča, da v primeru okvare omejite število poskusov preverjanja pristnosti. Število poskusov je omejeno in hekerji ne bi mogli preizkusiti več kombinacij gesel za prijavo.
- Kopiraj in prilepi: NIST priporoča uporabo prilepitve v polju za geslo za lažje upravljanje. V nasprotju s tem v prejšnjih smernicah ta naprava za lepljenje ni bila priporočljiva. Upravitelji gesel uporabljajo to možnost prilepitve, ko gre za uporabo enega samega glavnega gesla za dostop do razpoložljivih gesel.
- Pravila o sestavi: Sestava znakov lahko povzroči nezadovoljstvo končnega uporabnika, zato je priporočljivo, da to sestavo preskočite. NIST je zaključil, da uporabnik ponavadi ne kaže zanimanja za nastavitev gesla s sestavo znakov, kar posledično oslabi njegovo geslo. Če na primer uporabnik nastavi svoje geslo kot »časovno premico«, ga sistem ne sprejme in ga prosi, naj uporabi kombinacijo velikih in malih črk. Po tem mora uporabnik spremeniti geslo z upoštevanjem pravil sestavljanja v sistemu. Zato NIST predlaga, naj to zahtevo po sestavi izključijo, saj se lahko organizacije soočajo z neugodnimi vplivi na varnost.
- Uporaba znakov: Ponavadi se gesla, ki vsebujejo presledke, zavrnejo, ker se šteje presledek, uporabnik pa pozabi znake presledka, zaradi česar si je geslo težko zapomniti. NIST priporoča uporabo poljubne kombinacije, ki jo uporabnik želi, ki si jo je lažje zapomniti in priklicati, kadar koli je to potrebno.
- Sprememba gesla: Pogoste spremembe gesel se večinoma priporočajo v varnostnih protokolih organizacije ali za kakršno koli geslo. Večina uporabnikov izbere enostavno in zapomnljivo geslo, ki ga je treba v bližnji prihodnosti spremeniti v skladu z varnostnimi smernicami organizacij. NIST priporoča, da gesla ne spreminjate pogosto in izberete geslo, ki je dovolj zapleteno, da ga je mogoče dolgo izvajati, da zadovolji uporabnika in varnostne zahteve.
Kaj pa, če je geslo ogroženo?
Najljubše delo hekerjev je kršenje varnostnih ovir. V ta namen si prizadevajo odkriti inovativne možnosti za prehod. Varnostne kršitve imajo nešteto kombinacij uporabniških imen in gesel za prekinitev katere koli varnostne ovire. Večina organizacij ima tudi seznam gesel, ki so dostopna hekerjem, zato blokirajo vsako izbiro gesel iz skupine gesel, ki je dostopna tudi hekerjem. Upoštevajoč enako skrb, če katera koli organizacija ne more dostopati do seznama gesel, je NIST predložil nekaj smernic, ki jih lahko vsebuje seznam gesel:
- Seznam tistih gesel, ki so bila že kršena.
- Preproste besede, izbrane iz slovarja (npr.g., 'vsebuje, "sprejeto," itd.)
- Znaki gesla, ki vsebujejo ponavljanje, zaporedje ali preprosto serijo (npr.g. 'cccc, "abcdef ali" a1b2c3').
Zakaj slediti smernicam NIST?
Smernice, ki jih ponuja NIST, upoštevajo glavne varnostne grožnje, povezane z vdorom gesel za različne organizacije. Dobra stvar je, da lahko NIST, če opazijo kakršno koli kršitev varnostne ovire, ki jo povzročijo hekerji, popravi svoje smernice za gesla, kot to počnejo že od leta 2017. Po drugi strani pa drugi varnostni standardi (npr.g., HITRUST, HIPAA, PCI) ne posodabljajo ali popravljajo osnovnih začetnih smernic, ki so jih predložili.