En 400-6655-581
5
返回列表
> 資源中心 > 文章>產(chǎn)品>PAM(特權(quán)訪問)> 一場由特權(quán)賬號引發(fā)的企業(yè)安全危機正在進行時……

一場由特權(quán)賬號引發(fā)的企業(yè)安全危機正在進行時……

文章

2023-05-10瀏覽次數(shù):240

某速遞有限公司內(nèi)部員工與外部不法分子勾結(jié),利用員工賬號和第三方非法工具竊取運單信息,導(dǎo)致40萬條個人信息泄露。

 

無獨有偶,某微信小程序頭部服務(wù)商因核心運維人員利用特權(quán)賬號惡意破壞,慘遭“刪庫”,影響百萬小微商戶登錄。當(dāng)日晚間,官方發(fā)布賠付計劃,稱準備了1.5億元人民幣賠付撥備金,其中公司承擔(dān)1億元,管理層承擔(dān)5000萬元。

 

……

 

類似以上因特權(quán)賬號濫用或監(jiān)管不力而引發(fā)的企業(yè)安全危機事件還有很多,甚至就在進行。據(jù)Forrester Research顯示,80%以上網(wǎng)絡(luò)安全事件與特權(quán)賬號濫用有關(guān);而2019 Microsoft Vulnerabilities Report爆出的189個重大微軟漏洞中,81%能夠通過刪除用戶本地管理權(quán)限而修繕。

 

 

面對這一系列因特權(quán)賬號引發(fā)的安全危機,企業(yè)亟需全面了解特權(quán)賬號可能存在哪些安全問題,從而更有針對性地快速、及時、高效應(yīng)對。

 

為此,派拉軟件在基于服務(wù)2000+客戶的成功實踐上,總結(jié)出了以下幾點有關(guān)特權(quán)賬號安全問題的經(jīng)驗教訓(xùn),供各大企業(yè)參考:

 

 

01

分散式的賬號管理,賬號監(jiān)管難

在實際項目實施過程中,派拉軟件發(fā)現(xiàn)很多企業(yè)在賬號管理上仍采取以人工維護的方式進行分散式的賬號管理,即不同系統(tǒng)由不同管理員分別手工維護、管理,在特權(quán)賬號的開通使用與管理上,存在很大的隨意性。

 

這樣的管理方式,讓企業(yè)無法及時、有效地掌控企業(yè)賬號資產(chǎn)情況。尤其是在企業(yè)數(shù)字化轉(zhuǎn)型加速演進過程中,企業(yè)系統(tǒng)數(shù)量急劇增加,對應(yīng)的特權(quán)賬號也隨之增長,賬號資產(chǎn)的梳理成為老大難。


與此同時,滋生了各種高危賬號,如弱口令賬號、僵尸賬號、幽靈賬號、權(quán)限有未知變更賬號、長期未改密賬號等等。

 

這些缺乏監(jiān)管的賬號,使得無論是企業(yè)內(nèi)部人員還是外部攻擊人員,都能更加輕易地突破企業(yè)安全防線,產(chǎn)生或人為泄露、或被批量竊取或被非法利用等安全風(fēng)險。

 

02

密碼更改存儲隨意,策略執(zhí)行難

在密碼的存儲、更改方面,派拉軟件發(fā)現(xiàn)很多企業(yè)都是由系統(tǒng)管理員人工Excel文件管理,很難確保賬號密碼的安全存儲。

 

而賬號密碼數(shù)量龐大,若通過人為手工改密,耗時耗力且難以保障按等級保護相關(guān)要求每三個月對密碼進行一次修改,也不能保證密碼的復(fù)雜度。

 

而在實際管理過程中,企業(yè)往往還存在許多被授權(quán)用戶可自行修改密碼,而管理員卻并不知情,形成諸多潛在安全風(fēng)險。

 

03

管理權(quán)限細粒度大,訪問控制難

在管理權(quán)限上,派拉軟件發(fā)現(xiàn)很多企業(yè)管理員賬戶權(quán)限非常高,甚至直接就是根賬號/root賬號。針對不同級別、不同系統(tǒng)運維人員或管理員沒有做嚴格的最小權(quán)限設(shè)置管理。

 

這就導(dǎo)致很多企業(yè)因部分技術(shù)運維人員,尤其是外包人員技術(shù)不過關(guān)或者誤操作,帶來各種安全事件,甚至直接影業(yè)務(wù)正常運行。有部分企業(yè)還發(fā)生過利用非ROOT但權(quán)限較高的賬號實現(xiàn)數(shù)據(jù)盜取。

 

04

缺乏動態(tài)監(jiān)控手段,危機應(yīng)對難

在事中風(fēng)險監(jiān)控層面,大部分企業(yè)是缺乏相應(yīng)的動態(tài)監(jiān)控手段,導(dǎo)致過程中賬號風(fēng)險無法及時發(fā)現(xiàn),而傳統(tǒng)的人工排查方式治標不治本,無法對賬號安全進行可持續(xù)的全局監(jiān)控。

 

很多時候,往往是業(yè)務(wù)部門先發(fā)現(xiàn)基礎(chǔ)設(shè)施出現(xiàn)了問題,安全運維人員隨后被動響應(yīng)。這樣的事后發(fā)現(xiàn)問題,使得企業(yè)很難及時有效地應(yīng)對危機事件。

 

05

審計追溯能力缺失,取證監(jiān)控難

由于很多企業(yè)缺乏專業(yè)的特權(quán)賬號管理平臺,審計功能缺失或者不完善,無法詳細記錄特權(quán)賬號活動與操作行為。

 

例如,不知道是誰在什么時間操作、做了哪些操作、是否有文件的傳輸?shù)?。?dāng)安全事件發(fā)生后,管理員無法快速有效追溯,取證定責(zé)難。

 

 

毋庸置疑,作為掌管著企業(yè)各大數(shù)據(jù)中心內(nèi)部分布在主機、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等各種資產(chǎn)上具有較高訪問權(quán)限的賬號,特權(quán)賬號是企業(yè)數(shù)據(jù)安全防護過程中最核心的一把鑰匙。

 

Gartner 分析師就曾表示,任何組織都需要解決特權(quán)賬號以及其他擁有高級權(quán)限賬號的安全問題。因為這些賬號一直是攻擊者的首要目標,利用這些賬號可以輕易獲取敏感信息和數(shù)據(jù)。

 

那么,針對上述派拉軟件在實戰(zhàn)中總結(jié)出的五大特權(quán)賬號安全問題,派拉軟件是如何在實際落地中幫助客戶成功解決的呢?

 

 

派拉軟件研發(fā)總監(jiān)茆正華表示,派拉軟件在身份與訪問控制管理的基礎(chǔ)上,拓展自研了特權(quán)賬號管理平臺(PAM)。眾所周知,PAM連續(xù)兩年位居Gartner的10大安全項目之首。

 

派拉軟件也早在多年前就意識到其重要性,并啟動PAM平臺的自主研發(fā)。通過“事前檢測、事中控制、事后審計”的平臺設(shè)計與管理思想,有效幫助企業(yè)解決上述特權(quán)賬戶管理的五大難題。

 

01 事前檢測

提供IT資產(chǎn)發(fā)現(xiàn),IT資源、賬號、密碼、權(quán)限的自動檢測、梳理能力,定期自動改密能力等,幫助企業(yè)快速識別、梳理企業(yè)IT資產(chǎn)情況,及時清理弱密碼及風(fēng)險賬號,實現(xiàn)資產(chǎn)在線全生命周期安全管理,涵蓋了數(shù)據(jù)庫、設(shè)備、賬號密碼等資產(chǎn)上線、維護、使用和下線等全過程,并可視化呈現(xiàn),減輕管理員工作壓力,提升特權(quán)賬戶安全管理能力。

 

02 事中控制

在事中,派拉軟件針對安全風(fēng)險點和合規(guī)要求,提供各種安全策略部署,如訪問控制策略、密碼策略、最小權(quán)限管理原則等,提供強認證方式、憑證管理、按需授權(quán)、訪問控制管理等,并持續(xù)監(jiān)控,及時預(yù)警通知。

 

當(dāng)平臺發(fā)現(xiàn)風(fēng)險賬號,可一鍵對其進行停用或刪除,并檢查密碼,避免強度過低而被黑客暴力破解。如果企業(yè)存在緊急使用情況,也可通過該平臺快速設(shè)置訪問資源限制,如什么時間,通過什么設(shè)備訪問,訪問可以操作哪些命令,只能看不能導(dǎo)出文件等限制條件,并快速共享使用。

 

03 事后審計

在事后,派拉軟件特權(quán)賬戶管理平臺提供完整、開放、不可逆的審計能力,發(fā)掘數(shù)據(jù)二次價值。用戶所有操作可通過視頻審計、文件審計、字符審計、日志審計等多種審計模式全程記錄,便于事后追溯,還能同企業(yè)其他日志平臺、態(tài)勢感知等進行集中化管理。

 

此外,通過對各種設(shè)備資產(chǎn)、后臺管理平臺實名制訪問管理,解決單一虛擬賬號無法對應(yīng)到實體自然人身份的問題,避免過去有審計追溯,卻無法精準到人的定責(zé)情況發(fā)生。

 

最后,說到特權(quán)賬戶管理,很多企業(yè)都會提到堡壘機。的確,國內(nèi)市場最早對標PAM工具的模型正是堡壘機,但其與派拉軟件特權(quán)賬戶管理平臺仍存在一定的差異,詳見下圖

 

PS:若各位還想了解更多有關(guān)特權(quán)賬號管理內(nèi)容,可以看看下面這篇文章。如果還不能滿足你的需求,歡迎添加文末派拉軟件方案咨詢?nèi)藛T微信溝通交流

 

 

 

特權(quán)賬號·往期推薦