企業如何保護“特權訪問”的安全?
什麼是特權訪問?
特權訪問是指使用者的訪問級別,需要更多許可權,並且比普通使用者具有更多更高的訪問級別。這是一種分層模型,定義了使用者在有組織的環境中活動範圍。
與之對應的是特權賬戶。它是具有較高訪問許可權的賬戶,允許該賬戶所有者訪問系統中最受限制的區域並執行高特權任務。但特權賬戶也需要密碼才能訪問系統和執行任務。
例如,與具有較低訪問級別的普通使用者相比,某些作業系統的Root 使用者(根使用者)或者超級管理員具有特權訪問許可權。超級管理員不僅可以不受限制地訪問系統目錄,還可以新增和刪除使用者,或者修改系統檔案等。
特權賬戶可以由人或系統使用。IT專業人員通常使用特權賬戶(例如管理賬戶)來管理軟體,硬體和資料庫。非人工特權賬戶的示例是具有執行自動任務的特殊許可權的系統賬戶。特權賬戶使用者可以執行諸如安裝軟體,訪問限制區域,重設密碼以及進行其他系統更改等任務。
01 特權訪問的風險
特權訪問控制了大部分企業財產的 IT 管理員以及可訪問業務關鍵型資產的其他使用者。
因此,攻擊者經常在人為勒索軟體攻擊和有針對性的資料盜竊中利用特權訪問安全方面的弱點,因為這樣可以讓他們能夠快速獲得對企業業務資產的廣泛訪問,而這通常會迅速產生嚴重的業務影響。
大多數資料洩露事件都證明,特權賬戶密碼是透過社會工程技術或其他手段洩露,從而獲得系統中最有價值的功能和資料的訪問許可權。有時,擁有較低級別許可權的使用者賬戶在接管賬戶後會升級,以獲取特權訪問。當使用合法賬戶訪問系統時,入侵通常會在數週內被忽略,從而使駭客能夠在採取行動之前獲取必要的資訊。
因為特權賬戶如管理員和服務賬號經常被共享、跨系統使用,並且可能會使用弱密碼或預設密碼,同時由於共享,密碼也不會經常更改,使得它們容易被盜,在整個組織中被廣泛使用以及高度提升的訪問許可權,讓它們成為駭客攻擊的重點目標。據瞭解,超過20%的公司沒有更改眾所周知的預設密碼,例如“admin”和“12345”。而且,使問題複雜化的是,有些賬戶所有者對多個不同的賬戶使用相同的密碼。
劫持特權賬戶使攻擊者能夠訪問和下載組織中最敏感的資料,分發惡意軟體,繞過現有的安全控制並清除審計跟蹤以隱藏其活動。據行業分析師預測,高達80%的安全漏洞涉及特權賬戶密碼的洩露,並且大多數洩露的系統在200天內未被發現。
例如,此前的愛德華·斯諾登“洩密門”、雅虎和OPM(人事管理辦公室)的資料洩露、SWIFT銀行攻擊以及Uber資料洩露事件。他們的一個共同點在於,攻擊者都是利用通常授予內部人員的強大訪問許可權來啟動和執行攻擊活動的。
有時,部分內部員工也會濫用授予他們的特權。組織中存在許多具有特權的使用者,如超級管理員、技術專家、管理者,他們可以完全訪問網路中的多個系統,甚至可以在不引起任何人注意的情況下建立新的特權賬戶。
不幸的是,企業很難檢測到擁有特權的使用者是否濫用了他們的許可權。這類罪犯往往可以巧妙地隱藏自己的行為,甚至可能誤導組織的內部調查,就像下述Ubiquiti Networks的情況一樣。
2020年12月,Ubiquiti Networks的一名員工濫用其管理許可權竊取機密資料,並將其用於獲取個人利益。攻擊者透過VPN服務訪問公司的AWS和GitHub服務,並授予他自己高階開發人員的證書。這名員工冒充匿名駭客,告知公司“竊取了他們的原始碼和產品資訊”,並要求公司支付近200萬美元的贖金,以阻止進一步的資料洩露。
可笑的是,該員工還參與了後續的事件響應工作。為了混淆公司的調查方向,他謊稱外部攻擊者侵入了公司的AWS資源。
再如,2022年1月,國際紅十字委員會遭受嚴重網路攻擊和大規模資料洩露。在後續調查中表明,惡意行為者透過紅十字委員會的伺服器的一個漏洞訪問了紅十字委員會的系統,獲取了特權賬戶,並偽裝成管理員獲取敏感資料。
結合上述內容,特權訪問一般存在如下的安全風險:特權身份冒用、濫用;訪問許可權管理混亂;缺乏有效的安全審計,無法滿足安全監管要求;資料傳輸洩露和威脅分析能力不足。
02 如何保護特權訪問的安全?
特權訪問在於使用者的特權賬戶是一個功能強大的賬戶,具有對系統的所有訪問許可權。駭客可以執行惡意活動,竊取敏感資訊,進行財務欺詐,並且經常很久之後才被發現。
攻擊者入侵系統後,他們通常會使用訪問許可權來觀察系統一段時間,並瞭解使用者的活動。最終,攻擊者可以準確瞭解目標系統。根據攻擊者的動機,他們可以使用特權賬戶執行以下操作:更改系統功能;禁用某些賬戶的訪問許可權;提升某些賬戶的訪問許可權;竊取敏感資料以進行欺詐、勒索或報復;損壞資料;注入錯誤程式碼或惡意軟體,等等。
因此,組織應將保護特權訪問作為頭等安全優先事項。因為攻擊者破壞此級別的訪問會帶來嚴重的潛在業務影響(且發生的可能性很高)。那麼,企業可以從哪些方面入手,保護特權訪問的安全呢?
將分散、混亂特權訪問現狀進行集中統一管控是有效的解決辦法,實現特權身份和訪問許可權進行集中管理,並對訪問行為進行全程實時記錄,為事後安全審計提供有力證據。
一是,對特權身份集中管理,一方面是主賬號集中管理,一方面是從賬號集中管理。把具有特權身份自然人抽象定義為主賬號,所有可訪問業務系統賬號密碼資訊抽象定義為從賬號,將所有主賬號和從賬號統一管理起來是特權訪問管理的前提。
其中,主賬號管理可採用三權分立原則,即劃分為特權身份管理員、特權審計員和系統維護員三類角色許可權,特權身份管理員負責主賬號的全生命週期管理;特權審計員負責對主賬號操作行為、從賬號使用情況進行審計分析,並對審計結果進行統計報表等;系統維護員負責對特權身份管理系統的配置、更新和維護等。
三類許可權相互牽制,防範特權許可權監管真空區。同時結合雙因素或多因素認證方式對主賬號進行身份鑑別,解決特權身份混用、冒用問題,也為安全事件指證和定則提供可靠依據。並引入身份鑑別防護機制,例如對暴力嘗試破解密碼行為進行鎖定登入,靜默會話自動登出,不能使用重複密碼,賬號密碼資訊加密儲存等等安全機制保護主賬號資訊。
從賬號集中管理,則是把所有業務系統抽象定義為目標裝置。將目標裝置中的所有從賬號進行集中管理形成從賬號分佈全景圖,等同於管理好了訪問企業資訊資產保險庫的“金鑰匙”。例如,透過SSO(單點登入)技術使得主賬號使用者在不知道從賬號密碼的條件下也可訪問業務系統和資料。另外,也需要週期性掃描IDC機房中存活的業務系統以及發現從帳號資訊;定期檢查從賬號密碼狀態;週期性對從賬號密碼進行改密;週期性檢測從賬號狀態,等等。
二是,訪問許可權集中管控,一方面是最小訪問許可權原則,將訪問權限盡可能劃分為最小粒度,僅賦予特權訪問所需的最小許可權集合,統一集中分配特權訪問時的許可權,形成特權訪問許可權全景圖,清晰描述哪些自然人能夠訪問哪些業務系統,具備哪些訪問許可權,儘可能減少特權訪問中許可權濫用或越權行為發生。
例如,數影可實現所有平臺、所有賬號統一管理,在針對特權訪問時,其中就有遵循最小訪問許可權原則,以保護帳號安全、組織資料安全。
另一方面,則是金庫模式,對於訪問高價值業務系統和高危級別操作時,應採用實時金庫模式進行管控,即配置“操作-監管”的雙崗位模式對特權訪問進行管理,實行高價值業務系統“一訪問一審批”,高危級別操作“一操作一審批”,並對訪問操作過程專人專崗實時管理。
三是,全程集中安全審計。事後事件分析的主要內容是誰在什麼時間,什麼地點對哪個業務系統進行了什麼操作,具備什麼許可權,進一步可以提升到操作者是誰管理的,誰匯入到運維環境中的,事件中的業務系統主管單位或者主管人員是誰,訪問許可權分配是否合理,訪問許可權都是由誰分配和稽核,經過了哪些調整。這些問題都可以透過安全審計的方式完整記錄下來。事後分析中更重要的是能夠完整還原事件的過程,準確評估事件的風險和損失。
四是,資料加密和威脅分析,一方面是通訊協議加密保護,加密資料是解決網路嗅探和監聽的最好方式。對特權訪問通訊的資料流進行資料加密,可有效防範監聽和流量還原導致的資料洩露情況。例如將檔案傳輸FTP協議更新為SFTP,TELNET更新為SSH,VNC更新為RDP等等。
另一方面是威脅分析和檢測,業務系統被特權訪問後留下的資料是否對業務系統穩定性、業務核心組建的安全影響有多大,是否存在安全威脅?這些問題時刻困擾著管理員和CISO們。由於特權訪問的強隱秘性,傳統安全檢測手段(例如IDS,網路審計或安全沙箱等)難以發現安全威脅。若是在傳統安全檢測技術基礎上增加協議代理或資料擺渡技術可以有效解決特權訪問過程中資料威脅分析,提高企業資料安全能力。
