打造一站式賬號安全管家 奇安信特權衞士正式發佈
釋出日期:2022-01-18 作者:奇安信集团
1月17日,奇安信在京正式發佈數據安解決方案——數據衞士套件。套件包含“一中心四衞士”分別從特權賬號管理、訪問權限控制、個人隱私防護、API安全管理以及數據安全態勢感知方面,幫助客户構建數據安全閉環體系。
作為其中重要組成部分,“特權衞士”首次實現了“人+機器+流程”的模式,可針對擁有特殊訪問權限的主體(包括人、賬户和設備)實現持續的分析檢測,改變了傳統單純的特權賬號的管理與運維模式,大幅降低了政企機構因特權賬户被入侵或被惡意使用而導致數據泄露的風險。
特權賬户失竊是數據泄露的重要因素
據IBMSecurity發佈的《2021年數據泄露成本報告》指出,最常見的初始化攻擊路徑為憑證竊取,所佔比例高達20%;82%的受訪者承認在多個賬號中重複使用密碼,泄露的憑據既是數據泄露事件的主要原因,同時也是主要影響,導致組織面臨複合風險。
無獨有偶,美國電信巨頭威瑞森發佈的《2021數據泄露調查報告》顯示,在其分析的近80000起安全事件中,超過61%的數據泄露事件與訪問憑證失竊有關。從這兩份權威數據中不難看出,盜用身份憑證仍然是黑客最常用的攻擊手段,是造成數據泄露最重要的因素之一。
“不誇張的比喻,特權就是賬號是通往數據大門的‘鑰匙’。”奇安信數據安全子公司副總經理姚磊在發佈會上説,實際上機構內部員工都具備訪問特定企業內部數據的權限,這些權限一旦被非法使用,就很有可能導致數據泄露。而特權賬户的訪問權限普遍要高於普通賬户,能夠訪問到的敏感數據也就更多,其失竊所帶來的的損失將會更大。因此,管理好賬户尤其是特權賬户對於降低數據泄露風險,具有非常重要的作用。
據姚磊介紹,造成特權賬户失竊的原因主要包括以下幾種:
使用123456之類的弱口令;
使用姓名+生日之類具有明顯個人特徵的口令;
在多套賬户下使用相同的口令,黑客只要竊取其中一個賬户,就很有可能通過撞庫攻擊竊取所有賬户;
員工對所管理的賬户數量、權限等不夠了解,導致賬户失竊。
但面對越來越多的賬户數量,員工對於賬户的管理越來越顯得力不從心,因此僅僅依靠人工和流程,並不能完全解決特權賬户的管理問題。
賬號安全面臨內憂外患
眾所周知,數據訪問是由主體訪問數據客體的過程,而賬號作為主體訪問客體的重要憑證在通過安全驗證後可以直接訪問到數據庫、數據倉庫、數據湖或其他系統的數據資源。
從近些年來的實戰攻防演習中來看,特權賬户已經成為攻擊隊的重點攻擊目標。因此,保障賬號安全是組織數據安全工作的重要目標之一,但由於系統和應用程序不斷增加,賬號管理問題日益突出。
需要注意的是,對於特權賬户安全而言,並不僅僅只有賬户失竊才會導致數據泄露,內部人員的特權濫用同樣會導致數據安全事件的發生,這也就是大家俗稱的“內鬼”。
近些年來,“內鬼”導致的數據安全事件頻發發生。無論是利用手中賬户權限一氣之下“刪庫跑路”,還是內外勾結竊取敏感信息,都會給組織帶來重大的損失。
“面對內外部的威脅,企業必須思考以下幾個問題,誰能訪問公司的數據?誰能訪問公司哪些數據?怎樣確保嘗試訪問的人切實得到授權?怎樣判斷訪問行為是否存在安全隱患?何種情況下需要拒絕有權限用户的訪問請求?”專家説,“為有效保護數據,公司必須根據業務需求,基於‘人+機器+流程’的模式,部署適當的訪問控制策略,用於解決上述(但不侷限於這些)問題。”
專家強調,訪問控制策略應可動態調整,以響應不斷進化的風險因素,使已被入侵的公司(特權賬號已經泄露)能夠隔離相關員工和數據資源以控制傷害。
特權訪問安全的四大關鍵
為幫助政企機構做好訪問控制,建設完善的特權訪問安全體系,奇安信特權衞士採用了以下四個核心步驟。
首先是特權安全風險評估。奇安信一線專家通過灰盒滲透測試,模擬惡意的內部人員或外包廠商進行灰盒滲透測試,挖掘其中的特權安全風險,幫助客户明確都有哪些特權賬號以及誰擁有這些特權賬號的訪問權限。
其次是特權訪問治理與控制。該方案基於特權訪問管理平台、特權威脅分析與感知、密碼保險箱等多個組件,可幫助客户按照業務所需建立授權訪問規則,同時做好建立起對特權賬户的安全存儲、使用規則。所有新系統建設,都需要通過既定標準進行特權賬號的申請和使用。
第三是特權行為記錄與審計,詳細記錄賬號簽入、簽出、改密、驗證等活動記錄,並對特權會話進行實時監控、在線播放和離線播放,實現對特權訪問的行為進行監控與分析,從而發現和及時阻斷潛在威脅。
最後特權訪問安全的建設是持續增進的,奇安信特權衞士能夠不斷對接更多系統,包括工單系統、認證系統、雲平台、IT資產管理系統等,成為企業IT化的內生能力,最終覆蓋企業IT的方方面面,為客户持續監控特權訪問行為,及時發現賬號威脅,並提供處置建議。