1月17日,奇安信在京正式發(fā)布數(shù)據(jù)安解決方案——數(shù)據(jù)衛(wèi)士套件。套件包含“一中心四衛(wèi)士”分別從特權(quán)賬號(hào)管理、訪問(wèn)權(quán)限控制、個(gè)人隱私防護(hù)、API安全管理以及數(shù)據(jù)安全態(tài)勢(shì)感知方面,幫助客戶構(gòu)建數(shù)據(jù)安全閉環(huán)體系。
作為其中重要組成部分,“特權(quán)衛(wèi)士”首次實(shí)現(xiàn)了“人+機(jī)器+流程”的模式,可針對(duì)擁有特殊訪問(wèn)權(quán)限的主體(包括人、賬戶和設(shè)備)實(shí)現(xiàn)持續(xù)的分析檢測(cè),改變了傳統(tǒng)單純的特權(quán)賬號(hào)的管理與運(yùn)維模式,大幅降低了政企機(jī)構(gòu)因特權(quán)賬戶被入侵或被惡意使用而導(dǎo)致數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
特權(quán)賬戶失竊是數(shù)據(jù)泄露的重要因素
據(jù)IBM Security發(fā)布的《2021年數(shù)據(jù)泄露成本報(bào)告》指出,最常見(jiàn)的初始化攻擊路徑為憑證竊取,所占比例高達(dá)20%;82%的受訪者承認(rèn)在多個(gè)賬號(hào)中重復(fù)使用密碼,泄露的憑據(jù)既是數(shù)據(jù)泄露事件的主要原因,同時(shí)也是主要影響,導(dǎo)致組織面臨復(fù)合風(fēng)險(xiǎn)。
無(wú)獨(dú)有偶,美國(guó)電信巨頭威瑞森發(fā)布的《2021數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,在其分析的近80000起安全事件中,超過(guò)61%的數(shù)據(jù)泄露事件與訪問(wèn)憑證失竊有關(guān)。從這兩份權(quán)威數(shù)據(jù)中不難看出,盜用身份憑證仍然是黑客最常用的攻擊手段,是造成數(shù)據(jù)泄露最重要的因素之一。
“不夸張的比喻,特權(quán)就是賬號(hào)是通往數(shù)據(jù)大門的‘鑰匙’。”奇安信數(shù)據(jù)安全子公司副總經(jīng)理姚磊在發(fā)布會(huì)上說(shuō),實(shí)際上機(jī)構(gòu)內(nèi)部員工都具備訪問(wèn)特定企業(yè)內(nèi)部數(shù)據(jù)的權(quán)限,這些權(quán)限一旦被非法使用,就很有可能導(dǎo)致數(shù)據(jù)泄露。而特權(quán)賬戶的訪問(wèn)權(quán)限普遍要高于普通賬戶,能夠訪問(wèn)到的敏感數(shù)據(jù)也就更多,其失竊所帶來(lái)的的損失將會(huì)更大。因此,管理好賬戶尤其是特權(quán)賬戶對(duì)于降低數(shù)據(jù)泄露風(fēng)險(xiǎn),具有非常重要的作用。
據(jù)姚磊介紹,造成特權(quán)賬戶失竊的原因主要包括以下幾種:使用123456之類的弱口令;使用姓名+生日之類具有明顯個(gè)人特征的口令;在多套賬戶下使用相同的口令,黑客只要竊取其中一個(gè)賬戶,就很有可能通過(guò)撞庫(kù)攻擊竊取所有賬戶;員工對(duì)所管理的賬戶數(shù)量、權(quán)限等不夠了解,導(dǎo)致賬戶失竊。
但面對(duì)越來(lái)越多的賬戶數(shù)量,員工對(duì)于賬戶的管理越來(lái)越顯得力不從心,因此僅僅依靠人工和流程,并不能完全解決特權(quán)賬戶的管理問(wèn)題。
賬號(hào)安全面臨內(nèi)憂外患
眾所周知,數(shù)據(jù)訪問(wèn)是由主體訪問(wèn)數(shù)據(jù)客體的過(guò)程,而賬號(hào)作為主體訪問(wèn)客體的重要憑證在通過(guò)安全驗(yàn)證后可以直接訪問(wèn)到數(shù)據(jù)庫(kù)、數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)湖或其他系統(tǒng)的數(shù)據(jù)資源。從近些年來(lái)的實(shí)戰(zhàn)攻防演習(xí)中來(lái)看,特權(quán)賬戶已經(jīng)成為攻擊隊(duì)的重點(diǎn)攻擊目標(biāo)。因此,保障賬號(hào)安全是組織數(shù)據(jù)安全工作的重要目標(biāo)之一,但由于系統(tǒng)和應(yīng)用程序不斷增加,賬號(hào)管理問(wèn)題日益突出。
需要注意的是,對(duì)于特權(quán)賬戶安全而言,并不僅僅只有賬戶失竊才會(huì)導(dǎo)致數(shù)據(jù)泄露,內(nèi)部人員的特權(quán)濫用同樣會(huì)導(dǎo)致數(shù)據(jù)安全事件的發(fā)生,這也就是大家俗稱的“內(nèi)鬼”。
近些年來(lái),“內(nèi)鬼”導(dǎo)致的數(shù)據(jù)安全事件頻發(fā)發(fā)生。無(wú)論是利用手中賬戶權(quán)限一氣之下“刪庫(kù)跑路”,還是內(nèi)外勾結(jié)竊取敏感信息,都會(huì)給組織帶來(lái)重大的損失。
“面對(duì)內(nèi)外部的威脅,企業(yè)必須思考以下幾個(gè)問(wèn)題,誰(shuí)能訪問(wèn)公司的數(shù)據(jù)?誰(shuí)能訪問(wèn)公司哪些數(shù)據(jù)?怎樣確保嘗試訪問(wèn)的人切實(shí)得到授權(quán)?怎樣判斷訪問(wèn)行為是否存在安全隱患?何種情況下需要拒絕有權(quán)限用戶的訪問(wèn)請(qǐng)求?”專家說(shuō),“為有效保護(hù)數(shù)據(jù),公司必須根據(jù)業(yè)務(wù)需求,基于‘人+機(jī)器+流程’的模式,部署適當(dāng)?shù)脑L問(wèn)控制策略,用于解決上述(但不局限于這些)問(wèn)題。”
專家強(qiáng)調(diào),訪問(wèn)控制策略應(yīng)可動(dòng)態(tài)調(diào)整,以響應(yīng)不斷進(jìn)化的風(fēng)險(xiǎn)因素,使已被入侵的公司(特權(quán)賬號(hào)已經(jīng)泄露)能夠隔離相關(guān)員工和數(shù)據(jù)資源以控制傷害。
特權(quán)訪問(wèn)安全的四大關(guān)鍵
為幫助政企機(jī)構(gòu)做好訪問(wèn)控制,建設(shè)完善的特權(quán)訪問(wèn)安全體系,奇安信特權(quán)衛(wèi)士采用了以下四個(gè)核心步驟。
首先是特權(quán)安全風(fēng)險(xiǎn)評(píng)估。奇安信一線專家通過(guò)灰盒滲透測(cè)試,模擬惡意的內(nèi)部人員或外包廠商進(jìn)行灰盒滲透測(cè)試,挖掘其中的特權(quán)安全風(fēng)險(xiǎn),幫助客戶明確都有哪些特權(quán)賬號(hào)以及誰(shuí)擁有這些特權(quán)賬號(hào)的訪問(wèn)權(quán)限。
其次是特權(quán)訪問(wèn)治理與控制。該方案基于特權(quán)訪問(wèn)管理平臺(tái)、特權(quán)威脅分析與感知、密碼保險(xiǎn)箱等多個(gè)組件,可幫助客戶按照業(yè)務(wù)所需建立授權(quán)訪問(wèn)規(guī)則,同時(shí)做好建立起對(duì)特權(quán)賬戶的安全存儲(chǔ)、使用規(guī)則。所有新系統(tǒng)建設(shè),都需要通過(guò)既定標(biāo)準(zhǔn)進(jìn)行特權(quán)賬號(hào)的申請(qǐng)和使用。
第三是特權(quán)行為記錄與審計(jì),詳細(xì)記錄賬號(hào)簽入、簽出、改密、驗(yàn)證等活動(dòng)記錄,并對(duì)特權(quán)會(huì)話進(jìn)行實(shí)時(shí)監(jiān)控、在線播放和離線播放,實(shí)現(xiàn)對(duì)特權(quán)訪問(wèn)的行為進(jìn)行監(jiān)控與分析,從而發(fā)現(xiàn)和及時(shí)阻斷潛在威脅。
最后特權(quán)訪問(wèn)安全的建設(shè)是持續(xù)增進(jìn)的,奇安信特權(quán)衛(wèi)士能夠不斷對(duì)接更多系統(tǒng),包括工單系統(tǒng)、認(rèn)證系統(tǒng)、云平臺(tái)、IT資產(chǎn)管理系統(tǒng)等,成為企業(yè)IT化的內(nèi)生能力,最終覆蓋企業(yè)IT的方方面面,為客戶持續(xù)監(jiān)控特權(quán)訪問(wèn)行為,及時(shí)發(fā)現(xiàn)賬號(hào)威脅,并提供處置建議。
