安全态势感知管理平台SIP/探针STA

深信服安全感知平台(简称SIP)是一款面向全行业的大数据安全分析平台,旨在为用户构建一套集检测、可视、响应于一体的本地安全大脑,让安全可感知、易运营,更有价值。
点击可切换产品版本
知道了
不再提醒
SIP3.0.77
{{sendMatomoQuery("安全态势感知管理平台SIP/探针STA","弱密码")}}

弱密码

更新时间:2023-05-25

弱密码指密码强度低,如简单的数字组合、与账号相同、密码长度过短等。弱密码很容易被黑客破译利用,从而使用合法的账号密码进行登录控制,隐蔽性较强。在[弱密码]页面下,管理员可对弱密码检测结果进行查看与操作。

登录入口自定义

登录入口自定义可以自定义web类的弱密码,并且该部分的弱密码列表还可以传给STA侧,以达到当内置的登录特征字段不能完全覆盖客户业务场景的情况下,自定义进行补充的效果,管理员登录SIP,进入到[资产感知/脆弱性感知/弱密码]页面,点击<弱密码配置>,如下图所示。

页面跳转到[系统设置/安全能力配置/弱密码配置]页面,点击<登录入口自定义>页签,点击<新增>

其中:

规则名称:自定义,不限于数字或者字母;

规则描述:自定义描述部分;

账号字段:请求头或者请求体中账号字段名称,具体可以和客户应用运维侧进行确认;

密码字段:请求头或者请求体中账号字段名称,具体可以和客户应用运维侧进行确认;

点击<查看>可以直观解释,如下图所示。

登录入口自定义之后的弱密码列表,会被STA定期拉取并同步到STA[对象定义/自定义规则库/自定义登录规则库]页面,如下图所示。

弱密码自定义

自定义弱密码功能主要满足客户web系统自定义弱密码检测场景,可以根据客户实际情况/所属行业规范/法律法规等方面灵活配置调整。管理员可点击<弱密码配置>,页面会自动下钻到[系统设置/规则配置/弱密码配置],配置页面如下图所示。

弱密码配置分为默认规则和自定义规则,内置规则适用于web类和非web类应用,但是自定义的仅支持对web类应用,识别和检测,默认规则默认不可编辑、修改和删除,如下图所示。

点击<新增>按钮,进入到自定义弱密码规则选项,需要指定生效域名、规则配置、账号白名单、密码白名单、自定义弱密码等内容,如下图所示。

其中:

规则名称:自定义弱密码规则名称;

生效域名:需说明该规则适用的域名/URL,例如: http://xxx:80/a/b/c?1=1

其中,http:// 属于该流量的请求协议,xxx 属于主机地址可以是域名或主机名或IP:号连接的80属于端口,/a/b/c属于资源路径 ,?号连接的 1=1 属于参数

规则需要配置的是域名的内容,可以参考请求流量中的host取值进行配置

规则配置:包括密码最小长度、字符种类数和位数、字典序、账号密码相同的情况、web空密码等;

账号白名单:假如通过产品侧分析得到的弱密码,不符合客户的业务场景/实际现状,可以自定义白名单,从而不会生成脆弱性事件。

弱密码内容:数量少的情况下,可以直接在空白处填写,可支持以txt格式导入,点击<导入文件>,如下图所示。

1、所有自定义弱密码规则,关联的web域名/URL,最大数量不超过50个;

2、优先级顺序:自定义的弱密码规则优先级高于默认规则,先判断匹配自定义规则,在判断匹配默认规则。

WEB登录结果自定义

[资产中心/脆弱性感知/弱密码]页面,点击<弱密码配置>跳转到弱密码配置页面,进入WEB登录结果自定义页面,如下图所示。

WEB登录结果分为登陆成功规则和登录失败规则,主要应用在SIP在客户实际网络中识别到的web登陆成功和登录失败信息与业务的真实情况存在偏差,以此来进行手动矫正,主要依据http协议中成功和重定向两类状态码,通过匹配登陆成功的内容、服务器IP地址等进行,如下图所示。

弱密码主动扫描策略

管理员可点击<弱密码主动扫描>进行扫描策略修改,可修改项包括扫描协议、扫描周期、发包频率等,如下图所示。

其中:

扫描协议:默认为全部扫描,可支持SMBMySQLOracle等;

发包频率:建议勾选慢速扫描,减轻服务器压力并避免被中间设备拦截;

扫描优先级:有的应用如MySQLOracle等存在登录失败次数限制(10次),当需要尝试登录的账号密码组合超限制次数时,靠后尝试登录的账号密码存在直接被易用拒绝连接的可能,管理员可酌情选择扫描优先级;

扫描对象:全部服务器指资产感知中所有服务器;指定服务器指挥处理所指定范围内出现在资产感知服务器列表中的服务器设备;管理员可输入漏洞名称/CVE进行漏洞检测结果查询。

弱密码检测查询

针对弱密码检测结果,管理员可指定时间范围(自定义),同时,可通过重要级别(全部/核心)、账号类型、登录状态、弱密码类型及资产组织进行筛选分析,如下图所示。

管理员可点击具体序号左侧的<+>号,展开详情进行查看,同时可在操作栏点击<查看举证>可查看隐藏的账号密码。针对已处理的弱密码事件管理员可勾选对应事件进行“批量标记为已处理”操作,如下图所示。

弱密码检测结果支持导出,管理员可点击<导出>,因含密码信息,需提供管理员密码并可自定义导出文件解压密码(默认密码为sangfor)。