En 400-6655-581
5
返回列表
> 資源中心 > 文章>產品>PAM(特權訪問)> 一場由特權賬號引發(fā)的企業(yè)安全危機正在進行時……

一場由特權賬號引發(fā)的企業(yè)安全危機正在進行時……

文章

2023-05-10瀏覽次數(shù):241

某速遞有限公司內部員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致40萬條個人信息泄露。

 

無獨有偶,某微信小程序頭部服務商因核心運維人員利用特權賬號惡意破壞,慘遭“刪庫”,影響百萬小微商戶登錄。當日晚間,官方發(fā)布賠付計劃,稱準備了1.5億元人民幣賠付撥備金,其中公司承擔1億元,管理層承擔5000萬元。

 

……

 

類似以上因特權賬號濫用或監(jiān)管不力而引發(fā)的企業(yè)安全危機事件還有很多,甚至就在進行。據(jù)Forrester Research顯示,80%以上網絡安全事件與特權賬號濫用有關;而2019 Microsoft Vulnerabilities Report爆出的189個重大微軟漏洞中,81%能夠通過刪除用戶本地管理權限而修繕。

 

 

面對這一系列因特權賬號引發(fā)的安全危機,企業(yè)亟需全面了解特權賬號可能存在哪些安全問題,從而更有針對性地快速、及時、高效應對。

 

為此,派拉軟件在基于服務2000+客戶的成功實踐上,總結出了以下幾點有關特權賬號安全問題的經驗教訓,供各大企業(yè)參考:

 

 

01

分散式的賬號管理,賬號監(jiān)管難

在實際項目實施過程中,派拉軟件發(fā)現(xiàn)很多企業(yè)在賬號管理上仍采取以人工維護的方式進行分散式的賬號管理,即不同系統(tǒng)由不同管理員分別手工維護、管理,在特權賬號的開通使用與管理上,存在很大的隨意性。

 

這樣的管理方式,讓企業(yè)無法及時、有效地掌控企業(yè)賬號資產情況。尤其是在企業(yè)數(shù)字化轉型加速演進過程中,企業(yè)系統(tǒng)數(shù)量急劇增加,對應的特權賬號也隨之增長,賬號資產的梳理成為老大難。


與此同時,滋生了各種高危賬號,如弱口令賬號、僵尸賬號、幽靈賬號、權限有未知變更賬號、長期未改密賬號等等。

 

這些缺乏監(jiān)管的賬號,使得無論是企業(yè)內部人員還是外部攻擊人員,都能更加輕易地突破企業(yè)安全防線,產生或人為泄露、或被批量竊取或被非法利用等安全風險。

 

02

密碼更改存儲隨意,策略執(zhí)行難

在密碼的存儲、更改方面,派拉軟件發(fā)現(xiàn)很多企業(yè)都是由系統(tǒng)管理員人工Excel文件管理,很難確保賬號密碼的安全存儲。

 

而賬號密碼數(shù)量龐大,若通過人為手工改密,耗時耗力且難以保障按等級保護相關要求每三個月對密碼進行一次修改,也不能保證密碼的復雜度。

 

而在實際管理過程中,企業(yè)往往還存在許多被授權用戶可自行修改密碼,而管理員卻并不知情,形成諸多潛在安全風險。

 

03

管理權限細粒度大,訪問控制難

在管理權限上,派拉軟件發(fā)現(xiàn)很多企業(yè)管理員賬戶權限非常高,甚至直接就是根賬號/root賬號。針對不同級別、不同系統(tǒng)運維人員或管理員沒有做嚴格的最小權限設置管理。

 

這就導致很多企業(yè)因部分技術運維人員,尤其是外包人員技術不過關或者誤操作,帶來各種安全事件,甚至直接影業(yè)務正常運行。有部分企業(yè)還發(fā)生過利用非ROOT但權限較高的賬號實現(xiàn)數(shù)據(jù)盜取。

 

04

缺乏動態(tài)監(jiān)控手段,危機應對難

在事中風險監(jiān)控層面,大部分企業(yè)是缺乏相應的動態(tài)監(jiān)控手段,導致過程中賬號風險無法及時發(fā)現(xiàn),而傳統(tǒng)的人工排查方式治標不治本,無法對賬號安全進行可持續(xù)的全局監(jiān)控。

 

很多時候,往往是業(yè)務部門先發(fā)現(xiàn)基礎設施出現(xiàn)了問題,安全運維人員隨后被動響應。這樣的事后發(fā)現(xiàn)問題,使得企業(yè)很難及時有效地應對危機事件。

 

05

審計追溯能力缺失,取證監(jiān)控難

由于很多企業(yè)缺乏專業(yè)的特權賬號管理平臺,審計功能缺失或者不完善,無法詳細記錄特權賬號活動與操作行為。

 

例如,不知道是誰在什么時間操作、做了哪些操作、是否有文件的傳輸?shù)?。當安全事件發(fā)生后,管理員無法快速有效追溯,取證定責難。

 

 

毋庸置疑,作為掌管著企業(yè)各大數(shù)據(jù)中心內部分布在主機、網絡設備、數(shù)據(jù)庫等各種資產上具有較高訪問權限的賬號,特權賬號是企業(yè)數(shù)據(jù)安全防護過程中最核心的一把鑰匙。

 

Gartner 分析師就曾表示,任何組織都需要解決特權賬號以及其他擁有高級權限賬號的安全問題。因為這些賬號一直是攻擊者的首要目標,利用這些賬號可以輕易獲取敏感信息和數(shù)據(jù)。

 

那么,針對上述派拉軟件在實戰(zhàn)中總結出的五大特權賬號安全問題,派拉軟件是如何在實際落地中幫助客戶成功解決的呢?

 

 

派拉軟件研發(fā)總監(jiān)茆正華表示,派拉軟件在身份與訪問控制管理的基礎上,拓展自研了特權賬號管理平臺(PAM)。眾所周知,PAM連續(xù)兩年位居Gartner的10大安全項目之首。

 

派拉軟件也早在多年前就意識到其重要性,并啟動PAM平臺的自主研發(fā)。通過“事前檢測、事中控制、事后審計”的平臺設計與管理思想,有效幫助企業(yè)解決上述特權賬戶管理的五大難題。

 

01 事前檢測

提供IT資產發(fā)現(xiàn),IT資源、賬號、密碼、權限的自動檢測、梳理能力,定期自動改密能力等,幫助企業(yè)快速識別、梳理企業(yè)IT資產情況,及時清理弱密碼及風險賬號,實現(xiàn)資產在線全生命周期安全管理,涵蓋了數(shù)據(jù)庫、設備、賬號密碼等資產上線、維護、使用和下線等全過程,并可視化呈現(xiàn),減輕管理員工作壓力,提升特權賬戶安全管理能力。

 

02 事中控制

在事中,派拉軟件針對安全風險點和合規(guī)要求,提供各種安全策略部署,如訪問控制策略、密碼策略、最小權限管理原則等,提供強認證方式、憑證管理、按需授權、訪問控制管理等,并持續(xù)監(jiān)控,及時預警通知。

 

當平臺發(fā)現(xiàn)風險賬號,可一鍵對其進行停用或刪除,并檢查密碼,避免強度過低而被黑客暴力破解。如果企業(yè)存在緊急使用情況,也可通過該平臺快速設置訪問資源限制,如什么時間,通過什么設備訪問,訪問可以操作哪些命令,只能看不能導出文件等限制條件,并快速共享使用。

 

03 事后審計

在事后,派拉軟件特權賬戶管理平臺提供完整、開放、不可逆的審計能力,發(fā)掘數(shù)據(jù)二次價值。用戶所有操作可通過視頻審計、文件審計、字符審計、日志審計等多種審計模式全程記錄,便于事后追溯,還能同企業(yè)其他日志平臺、態(tài)勢感知等進行集中化管理。

 

此外,通過對各種設備資產、后臺管理平臺實名制訪問管理,解決單一虛擬賬號無法對應到實體自然人身份的問題,避免過去有審計追溯,卻無法精準到人的定責情況發(fā)生。

 

最后,說到特權賬戶管理,很多企業(yè)都會提到堡壘機。的確,國內市場最早對標PAM工具的模型正是堡壘機,但其與派拉軟件特權賬戶管理平臺仍存在一定的差異,詳見下圖

 

PS:若各位還想了解更多有關特權賬號管理內容,可以看看下面這篇文章。如果還不能滿足你的需求,歡迎添加文末派拉軟件方案咨詢人員微信溝通交流!

 

 

 

特權賬號·往期推薦