一场由特权账号引发的企业安全危机正在进行时……
某速递有限公司内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条个人信息泄露。
无独有偶,某微信小程序头部服务商因核心运维人员利用特权账号恶意破坏,惨遭“删库”,影响百万小微商户登录。当日晚间,官方发布赔付计划,称准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担5000万元。
……
类似以上因特权账号滥用或监管不力而引发的企业安全危机事件还有很多,甚至就在进行。据Forrester Research显示,80%以上网络安全事件与特权账号滥用有关;而2019 Microsoft Vulnerabilities Report爆出的189个重大微软漏洞中,81%能够通过删除用户本地管理权限而修缮。
面对这一系列因特权账号引发的安全危机,企业亟需全面了解特权账号可能存在哪些安全问题,从而更有针对性地快速、及时、高效应对。 为此,派拉软件在基于服务2000+客户的成功实践上,总结出了以下几点有关特权账号安全问题的经验教训,供各大企业参考: 01 分散式的账号管理,账号监管难 在实际项目实施过程中,派拉软件发现很多企业在账号管理上仍采取以人工维护的方式进行分散式的账号管理,即不同系统由不同管理员分别手工维护、管理,在特权账号的开通使用与管理上,存在很大的随意性。 这样的管理方式,让企业无法及时、有效地掌控企业账号资产情况。尤其是在企业数字化转型加速演进过程中,企业系统数量急剧增加,对应的特权账号也随之增长,账号资产的梳理成为老大难。 这些缺乏监管的账号,使得无论是企业内部人员还是外部攻击人员,都能更加轻易地突破企业安全防线,产生或人为泄露、或被批量窃取或被非法利用等安全风险。 02 密码更改存储随意,策略执行难 在密码的存储、更改方面,派拉软件发现很多企业都是由系统管理员人工Excel文件管理,很难确保账号密码的安全存储。 而账号密码数量庞大,若通过人为手工改密,耗时耗力且难以保障按等级保护相关要求每三个月对密码进行一次修改,也不能保证密码的复杂度。 而在实际管理过程中,企业往往还存在许多被授权用户可自行修改密码,而管理员却并不知情,形成诸多潜在安全风险。 03 管理权限细粒度大,访问控制难 在管理权限上,派拉软件发现很多企业管理员账户权限非常高,甚至直接就是根账号/root账号。针对不同级别、不同系统运维人员或管理员没有做严格的最小权限设置管理。 这就导致很多企业因部分技术运维人员,尤其是外包人员技术不过关或者误操作,带来各种安全事件,甚至直接影业务正常运行。有部分企业还发生过利用非ROOT但权限较高的账号实现数据盗取。 04 缺乏动态监控手段,危机应对难 在事中风险监控层面,大部分企业是缺乏相应的动态监控手段,导致过程中账号风险无法及时发现,而传统的人工排查方式治标不治本,无法对账号安全进行可持续的全局监控。 很多时候,往往是业务部门先发现基础设施出现了问题,安全运维人员随后被动响应。这样的事后发现问题,使得企业很难及时有效地应对危机事件。 05 审计追溯能力缺失,取证监控难 由于很多企业缺乏专业的特权账号管理平台,审计功能缺失或者不完善,无法详细记录特权账号活动与操作行为。 例如,不知道是谁在什么时间操作、做了哪些操作、是否有文件的传输等。当安全事件发生后,管理员无法快速有效追溯,取证定责难。 毋庸置疑,作为掌管着企业各大数据中心内部分布在主机、网络设备、数据库等各种资产上具有较高访问权限的账号,特权账号是企业数据安全防护过程中最核心的一把钥匙。 Gartner 分析师就曾表示,任何组织都需要解决特权账号以及其他拥有高级权限账号的安全问题。因为这些账号一直是攻击者的首要目标,利用这些账号可以轻易获取敏感信息和数据。 那么,针对上述派拉软件在实战中总结出的五大特权账号安全问题,派拉软件是如何在实际落地中帮助客户成功解决的呢?
与此同时,滋生了各种高危账号,如弱口令账号、僵尸账号、幽灵账号、权限有未知变更账号、长期未改密账号等等。
派拉软件研发总监茆正华表示,派拉软件在身份与访问控制管理的基础上,拓展自研了特权账号管理平台(PAM)。众所周知,PAM连续两年位居Gartner的10大安全项目之首。 派拉软件也早在多年前就意识到其重要性,并启动PAM平台的自主研发。通过“事前检测、事中控制、事后审计”的平台设计与管理思想,有效帮助企业解决上述特权账户管理的五大难题。
01 事前检测 提供IT资产发现,IT资源、账号、密码、权限的自动检测、梳理能力,定期自动改密能力等,帮助企业快速识别、梳理企业IT资产情况,及时清理弱密码及风险账号,实现资产在线全生命周期安全管理,涵盖了数据库、设备、账号密码等资产上线、维护、使用和下线等全过程,并可视化呈现,减轻管理员工作压力,提升特权账户安全管理能力。
02 事中控制 在事中,派拉软件针对安全风险点和合规要求,提供各种安全策略部署,如访问控制策略、密码策略、最小权限管理原则等,提供强认证方式、凭证管理、按需授权、访问控制管理等,并持续监控,及时预警通知。 当平台发现风险账号,可一键对其进行停用或删除,并检查密码,避免强度过低而被黑客暴力破解。如果企业存在紧急使用情况,也可通过该平台快速设置访问资源限制,如什么时间,通过什么设备访问,访问可以操作哪些命令,只能看不能导出文件等限制条件,并快速共享使用。
03 事后审计 在事后,派拉软件特权账户管理平台提供完整、开放、不可逆的审计能力,发掘数据二次价值。用户所有操作可通过视频审计、文件审计、字符审计、日志审计等多种审计模式全程记录,便于事后追溯,还能同企业其他日志平台、态势感知等进行集中化管理。 此外,通过对各种设备资产、后台管理平台实名制访问管理,解决单一虚拟账号无法对应到实体自然人身份的问题,避免过去有审计追溯,却无法精准到人的定责情况发生。
最后,说到特权账户管理,很多企业都会提到堡垒机。的确,国内市场最早对标PAM工具的模型正是堡垒机,但其与派拉软件特权账户管理平台仍存在一定的差异,详见下图: