任何事情總是事后說(shuō)起來(lái)容易,但今天似乎已經(jīng)很清楚,最近,高調(diào)的網(wǎng)絡(luò)攻擊背后的罪犯,不一定是電腦天才,只是獲得良好機(jī)會(huì)的人們。他們能夠利用人性的弱點(diǎn),然后濫用他們找到的一個(gè)敞開的門。這里,讓我來(lái)解釋一下。
這些黑客使用諸如具有高度針對(duì)性的魚叉式網(wǎng)絡(luò)釣魚(Spear Phishing)電子郵件,引誘不知情的用戶打開一個(gè)惡意的附件,然后把惡意軟件部署到用戶的計(jì)算機(jī)中。攻擊者可以從一個(gè)機(jī)構(gòu)內(nèi)的單臺(tái)計(jì)算機(jī)開始,然后利用弱的、共享的特權(quán)帳戶的受害者,控制整個(gè)網(wǎng)絡(luò)系統(tǒng),搜遍其基礎(chǔ)設(shè)施和提取敏感的信息。這種方法很簡(jiǎn)單,但非常有效。
潛在的、脆弱的特權(quán)帳戶在IT基礎(chǔ)設(shè)施上—主機(jī)電腦操作系統(tǒng),網(wǎng)絡(luò)設(shè)備和備份系統(tǒng),以及在業(yè)務(wù)軟件中,是隨處可見的。特權(quán)帳戶可分為三個(gè)主要群體:
1、超級(jí)用戶登錄個(gè)人賬戶,用于配置、運(yùn)行和安裝應(yīng)用程序,更改系統(tǒng)設(shè)置;處理日常行政工作;以及執(zhí)行應(yīng)急消防呼叫維護(hù)。
2、服務(wù)帳戶,需要特權(quán)的登錄ID和密碼來(lái)運(yùn)行。
3、應(yīng)用到應(yīng)用的密碼,被網(wǎng)站、在線業(yè)務(wù)應(yīng)用、定制軟件連接到數(shù)據(jù)庫(kù)時(shí)使用的。
控制訪問(wèn)特權(quán)帳戶的密碼,是最終黑客和機(jī)構(gòu)的私人數(shù)據(jù)之間的主要障礙。然而,很多時(shí)候,這些密碼沒(méi)有得到充分的保護(hù)、監(jiān)督和審查。
安全性:為什么特權(quán)帳戶處于危險(xiǎn)之中
因?yàn)樘貦?quán)帳戶,甚至沒(méi)有通過(guò)身份訪問(wèn)管理(Identity Access Management簡(jiǎn)稱IAM)系統(tǒng)確認(rèn),大多數(shù)機(jī)構(gòu)都沒(méi)有用自動(dòng)化的方式來(lái)管理這些強(qiáng)勢(shì)的帳戶。今天由政府和行業(yè)團(tuán)體制定的IT安全法規(guī)要求機(jī)構(gòu)經(jīng)常更新特權(quán)帳戶的證書,并審核其使用授權(quán)。但是用腳本或手工更新這些帳戶,常常被證明是太耗時(shí)和容易出錯(cuò)的。對(duì)于更復(fù)雜的過(guò)程,手動(dòng)更改可能會(huì)導(dǎo)致服務(wù)中斷,如果人員不清楚不同的特權(quán)帳戶之間的相互依存關(guān)系的時(shí)候。因此,許多機(jī)構(gòu)根本忽視了這個(gè)問(wèn)題。
不幸的是,由弱的特權(quán)帳戶引入的安全風(fēng)險(xiǎn),在您的數(shù)據(jù)中心并沒(méi)有停止。您的機(jī)構(gòu)可能使用的越來(lái)越多的共享服務(wù),包括云服務(wù)、證書頒發(fā)機(jī)構(gòu)和金融服務(wù)網(wǎng)關(guān),特權(quán)帳戶的安全管理薄弱或不存在管理的問(wèn)題已經(jīng)暴露無(wú)遺。對(duì)于一個(gè)黑客來(lái)說(shuō),由共享的服務(wù)提供商員工使用的一個(gè)弱加密特權(quán)登錄,是具有令人難以置信的吸引力的目標(biāo),尤其是因?yàn)樵谶@些環(huán)境中的一個(gè)單一的妥協(xié)登錄,就可以打開企業(yè)客戶的私人數(shù)據(jù)。
保護(hù)鑰匙的安全
雖然保護(hù)您的特權(quán)帳戶的安全,可能看起來(lái)像一個(gè)棘手的問(wèn)題,你可以從控制開始,只需采取三個(gè)簡(jiǎn)單的步驟。
第1步,找到鑰匙。您需要執(zhí)行一個(gè)對(duì)您的整個(gè)網(wǎng)絡(luò)從頂端到底層的審查,以確定所有特權(quán)帳戶究竟在何處駐留。這應(yīng)該包括編目,看看登錄密碼是否足夠獨(dú)特和復(fù)雜,它們是否經(jīng)常改變,以保證安全。
在這一點(diǎn)上,一些讀者可能會(huì)感到絕望,因?yàn)樵谝粋€(gè)典型的數(shù)據(jù)中心有成千上萬(wàn)的潛在的特權(quán)登錄編目,這是一項(xiàng)不容易的任務(wù)。不要害怕,有些公司可以向?qū)徍撕细竦臋C(jī)構(gòu)提供特權(quán)帳戶的審計(jì),通常是不收取費(fèi)用的。
第2步,鎖門。你應(yīng)該部署自動(dòng)地關(guān)閉任何已發(fā)現(xiàn)的安全漏洞的功能。有成本效益的解決方案,不僅可以保證非常大的網(wǎng)絡(luò)上的這些帳戶的安全,而且這樣做只需幾個(gè)小時(shí)或幾天,而不是幾個(gè)月的時(shí)間。
第3步,固定窗口。如果您的網(wǎng)絡(luò)關(guān)鍵的外部組成部分是脆弱的,您也不能保證安全。要求您的關(guān)鍵業(yè)務(wù)合作伙伴,包括云服務(wù)提供商、證書頒發(fā)機(jī)構(gòu)和其他機(jī)構(gòu),證明他們是在遵守有意義的、如共識(shí)審計(jì)準(zhǔn)則(Consensus Audit Guidelines)這樣的規(guī)定。我認(rèn)為,如果他們提供像SAS70等類似的自我認(rèn)證,那說(shuō)明他們沒(méi)有采取認(rèn)真的態(tài)度,最終將會(huì)暴露您的私人信息。
黑客已經(jīng)表明,它們能穿透任何企業(yè)的網(wǎng)絡(luò)。在過(guò)去的幾個(gè)月中,入侵者似乎更占上風(fēng),因?yàn)樾孤哆@個(gè)詞已經(jīng)攻擊類似遭受損害的DigiNotar的四個(gè)證書頒發(fā)機(jī)構(gòu)。
許多機(jī)構(gòu)似乎認(rèn)識(shí)到情況的嚴(yán)重性,產(chǎn)生了一些恐慌和混亂的回應(yīng),因?yàn)樗麄冓s緊鎖好門,而慌亂中,卻把鑰匙留在鎖上。你的數(shù)據(jù)中心依賴于特權(quán)身份的功能,這是不會(huì)改變的。但是,如果不能保護(hù)這些帳戶,那么將會(huì)暴露您的私人數(shù)據(jù)。我們已經(jīng)解釋過(guò)風(fēng)險(xiǎn)了,但最終的決定取決于您自己。