Dopo aver esaminato i log generati da diversi SIEM (Splunk, HP Logger Trial e SIEM della piattaforma AlienVault) ho notato che per qualche motivo alcuni utenti tendono a commettere l'errore di digitare le loro password nel campo del nome utente, sia nel Accesso al dominio del SO o all'interno di applicazioni Web. Immagino che si tratti di persone che non possono digitare senza guardare la tastiera e nel tentativo di farlo, facendolo in fretta, finiscono per digitare le proprie password nel campo sbagliato. Ciò significa che la password viene inviata in testo normale ovunque nella rete e finisce registrata nei registri con un evento che dice qualcosa lungo le linee:
User P@$$w0rd does not exist [...]
o
An account failed to login: P@$$w0rd [...]
(dove P @ $$ w0rd è la password dell'utente reale)
Diventa abbastanza ovvio capire a chi appartengono le password: in genere l'evento precedente o molto successivo (non) riuscito sullo stesso file di registro ti dirà un evento innescato dallo stesso utente.
Qualsiasi altro analista, esaminando i log, potrebbe ottenere le credenziali di qualcun altro senza che il proprietario dovuto ne sia a conoscenza; lo scenario peggiore è l'intercettazione della rete o il compromesso del file di registro effettivo.
Sto cercando una guida generale per aiutare a prevenire questo. Immagino che mascherare semplicemente il nome utente non sia fattibile e anche se lo fosse, questo probabilmente eliminerebbe molte analisi del log per non essere in grado di dire chi ha fatto cosa.
Nota: esiste già un post su un problema simile, ma sto cercando di affrontare un modo per impedirlo. Qual è il rischio se digito accidentalmente la mia password in un campo username (accesso a Windows)?
Risposta accettata: Vorrei poter selezionare alcune risposte dall'elenco. Purtroppo devo limitarmi a uno solo nel forum, ma in pratica posso combinarli. Grazie mille per tutte le risposte; Vedo che non esiste un'unica soluzione. Come concordo sul fatto che aggiungere "cose" aggiunga complessità che aumentano la probabilità di lacune nella sicurezza, devo concordare con la maggior parte degli elettori che @AJHenderson ha la risposta più elegante e più semplice come primo approccio. Sicuramente SSL e una semplice verifica del codice sul server o anche sul lato client. Poiché sto cercando di mitigare non contro utenti malintenzionati, ma quelli distratti, questo andrà bene. Una volta che questo è a posto, possiamo iniziare a considerare l'espansione dell'implementazione per gli utenti malintenzionati, se appropriato. Grazie mille per l'input di tutti.