管理面临的安全挑战 (一)特权账号自身风险…
- 系统数量多,特权账号梳理难
特权账号由于其分布广、数量多的特点造成特权账号梳理难,组织管 理员无法全面的掌握特权账号动态情况。
分布广,特权账号散落分布在应用程序、数据库、网络设备 、安全设 备、操作系统中;特权账号的持有人分布广,持有人可能是在数据中心运 维人员,也可能是组织总部业务、后勤、人力等任何一个部门的人员,还有 可能是偏远子分公司的业务运营人员等等。 数量多,一个组织信息系统资产(软件、硬件等)可能会被创建多个特 权账号,系统新建、改建、扩建、维护、下线等过程,都会产生大量的特权 账号。据估算,特权账号的数量可能达到组织信息系统(主机操作系统、数 据库、业务系统、管理系统 等)数量的 5-10 倍,甚至更多。 2. 风险账号多,账号口令易泄漏
由于组织管理者难以实时发现特权账号的数量变化、具体分布、使用 情况等信息,导致系统资产出现各类的风险账号。这些风险账号由于其隐 蔽性往往给系统资产带来很大的安全隐患。风险账号主要包括如下几种:
幽灵账号,组织管理员 或因业务新建账号的临时需求或因系统升级、 维护、下线等业务变化或因管理的疏忽造成的大量无人负责无人管理维护 的账号。 僵尸账号,第三方人员、离职员工、临时访客等留下的过期、多余账号 不能及时清除;或由于测试账号使用后未及时清除;或设备、应用、程序等 下线而未及时清除账号,导致存在长期无人使用的账号。
后门账号,有意或恶意创建的非法账号。
弱口令账号,弱口令是指账号口令复杂度策略配置较低,或容易被攻 击者获取的口令,通常有简单口令、默认口令、空口令、规律性口令、社会 工程学弱口令等。由于其口令强度过弱,容易被攻破,为每年 HW的十大安 全漏洞之首。
长期未改密账号,由于组织管理员管理疏忽或者因应用系统内嵌账号 问题,导致系统长年不能改密的账号。它们存在合规风险,给攻击者提供 充足的时间窗口。
(二)人员风险
以往特权账号一般只掌握在少数组织管理者手中,由他们进行定期的 系统维护,但随着组织信息化及数字化建设的深入,组织 IT 资产的数量及 关联的部门都逐步增多,因此,特权账号的持有者也变得越来越多,覆盖 的部门及外部供应商也越来越复杂。其中,内部的人员角色,包括运维人 员、开发人员、测试人员等,涉及的部门往往包括安全部门、运维部门、开 发部门、业务部门、财务部门等,而外部供应商则涉及外包开发人员、外包 运维人员、第三方系统的供应商的售后维护人员等。
- 人员角色复杂,账号权限管理难
根据 Haystax 于 2019 年发布的网络内部安全威胁报告,内部威胁已 成为数据泄漏的第二大原因。内部特权滥用在当今各种规模的组织中都是 一个迅速增长的问题,由于人员角色复杂,权限划分并不清晰,往往存在 账号共享使用及账号权限过度开放等问题,使得内部的不法人员有机可乘, 可以通过“合法账号”直接访问到核心业务和数据资源,造成组织内部数 据泄漏或系统破坏。
- 人员调岗、离职账号权限不能及时清除
特权账号在组织内部的跨部门使用特性,导致特权账号的管理难度大 大增加。存在人员调岗、离职时,其掌握的账号权限未能及时收回或清除 的现象。一方面,随着时间的推移,系统中会沉淀大量僵尸账号与幽灵账 号,甚至这些账号的口令已经遭到泄漏或存在弱口令问题,使其成为组织 内部极大的安全漏洞;另一方面,调岗或离职人员,若存不轨之心,也可以 轻易利用这些没有及时清除的账号权限进行恶意破坏,或非法访问并下载 敏感数据。
- 供应商人员流动性大,账号管理难度加剧
供应商是支撑组织业务和系统正常运行的重要构成部分,几乎每个组 织都依赖多个供应商来完成工作。根据业务和履行合同的需要,供应商需 使用特权账号访问组织的内部基础设施和数据资源。由于供应商人员数量 多、流动性大的特点,导致账号及权限管理的难度加剧,账号口令被人为 扩散和传播的风险也随之增加,且存在特权滥用、私自创建后门账号,以
及账号口令被篡改或遗失的风险。
(三)管理风险
随着资产日益增加,应用系统疯狂增长,应用系统类型日益复杂,对特 权账号管理要求越来越高,特权账号口令的管理成为新的挑战。如有些用 户的应用系统中存在长期不更改口令的情况;应用系统之间交互,通过账 号口令明文方式存储,且账号口令无备份机制;账号口令需要在各个部门 之间流转,存在极大外泄风险。通过以上的分析,特权账号口令有如下的 问题:
- 账号多、分布广,定期改密难
随着业务增长,管理资源的增多,各种账号动辄上万,分布在主机、网 络设备、数据库等资产上,如果全部手工管理,不仅耗时耗力,而且准确度 低,维护的成本高,出错可能性大,改密过程不可靠,容易造成口令丢失。 由于业务系统的差别,改密策略难以统一下发,无法做到定期修改口令。 另外口令的长期未改密,增加口令泄漏的风险,导致核心数据失陷。
- 应用内嵌或明文存储账号口令易泄漏
应用内嵌账号,指的是账号口令明文写在某个配置文件中的账号。这 些账号权限高、易外泄,不符合密码应用规范。很容易造成口令的泄漏,导 致组织关键数据泄漏,给组织带来重大的损失。
明文存储账号,如明文存储在 Excel 表格、笔记本或文本中,一旦终 端失陷,将造成大批核心主机或数据库失陷,极具安全隐患;
- 特权账号无备份机制,口令易丢失
应用系统扩展、增加都会产生大量的特权账号,没有特权账号备份机 制,容易造成口令丢失,影响业务连续性。随着人员的流动,人员交接不细 致或应用系统不经常登录,从而导致口令遗失事件频繁发生,亟需建立完 善口令存储机制。
参考资料红蓝攻防构建实战化网络安全防御体系 青藤云安全 2022攻防演练蓝队防守指南
友情链接绿盟 2020 Botnet趋势报告
