企业动态

    近日，美国通信运营商威瑞森（Verizon）发布了2023数据泄露调查报告(DBIR)，报告显示，数据泄露已经成为全球数据安全风险的首要问题，其中95%的数据泄露都是经济驱动，远高于2019年的86%，特权账号或凭据的窃取和非法使用是数据泄露的关键攻击手段。Verizon专家还认为，企业高级管理层由于经常被“网开一面”，又掌控更多权限，容易成为重大安全威胁。

    该报告基于威瑞森威胁研究咨询中心调查的事件信息，报告显示，数据泄露背后的主要动机依然是经济利益，今年这一数字高达95%；2019年86％的数据泄露是出于经济动机；此外，即使是滥用特权账号的内部攻击，其经济动机也高达89%。

    其中，金融服务和制造业是攻击者的首选，因为这些企业必须按时交付产品和服务以留住客户并生存。人员是主要的初始攻击面，与针对人员的社会工程攻击组合是最常见的初始攻击策略。每10起数据泄露事件中，就有8起是有组织犯罪团伙发起的，大部分都是为了取经济利益，通常涉及窃取客户敏感数据，勒索软件是首选武器。

    登录口令被破解  成数据泄露爆发点

    DBIR报告指出，特权账号或凭据的窃取和非法使用是数据泄露的关键攻击手段。74%的泄露事件是人为因素造成的，包括人为错误、滥用特权、使用被盗凭证或社会工程。攻击者进入组织的三种主要方式是窃取凭据、钓鱼和漏洞利用。盗取凭证已成为数据泄露事件中的最受欢迎的入口。过去的五年中，使用凭证的方式获得广泛采用。

    奇安信数据安全子公司副总经理姚磊也认为，登录口令被破解已经成为数据泄露最集中的爆发点，这种例子屡见不鲜。

    例如2022年3月，美国征信巨头TransUnion南非公司泄露5400万消费者征信数据，黑客团伙通过暴力破解入侵了一台存有大量消费者数据的SFTP服务器，该服务器密码竟然为“Password”。

    类似情况在国内也有发生，例如某重要政企单位就发生一起数据泄露事件，经溯源发现为内部人员通过高权限账号下载数据贩卖导致。之所以内部人员敢肆无忌惮的贩卖数据，主要原因是内部5个人共用一个账号，即使出了问题，也没办法追责到具体的人。

    某省通管局对跨境数据检查发现，多家企业系统登录用户名、密码境外传输，若泄露易造成业务系统数据安全隐患，并被用于数据窃取访问；登录后可利用业务系统数据获取个人敏感信息，并被境外诈骗分子利用。

    这些数据被泄露后，轻者企业数据、个人信息泄露会滋生电信诈骗、敲诈勒索等刑事案件，给社会安定带来严重威胁；重者经由暗网、网络传输等渠道大批量流向境外，破坏国家数据主权，可能导致信息战、经济战、舆论战的失败。

    奇安信安服团队在上千场实战攻防演习中也发现，广大政企单位目前基础设施资源普遍存在着账号管理方面的诸多问题和痛点，其中“账号口令以人工维护为主，存在人为泄露、被批量窃取或被非法利用的风险”，位居第一。

    图：调研单位目前基础设施资源存在的账号管理的问题和痛点

    姚磊认为，特权账号是通往企业数据大门的“钥匙”，在业务流程中对重要数据进行访问或操作的都是特权账号。然而国内广大政企客户的特权账号，普遍存在弱密码、长期不改密等问题，极易被黑客利用、攻击。同时，多人共用账号现象普遍，会导致访问行为不规律、不可控。同时很多企业机构存在大量闲置和废弃账号，给数据安全埋下严重隐患。

    高管易成风险点，政企亟待加强特权人员、账号管控

    有句古话叫“法不加于尊”，无论国内还是国外，位高权重之人，往往更具特权、更难管理。Verizon Business 网络安全咨询总经理 Chris Novak 表示：“对许多企业而言，企业高级管理层自身就是重大安全威胁。因为这些高管不仅拥有一个企业最敏感的信息，而且往往是最不受安全控制的人群，因为许多企业的安全协议都为高管‘网开一面’。随着社会工程学的快速发展和日益复杂，企业现在必须加强对其高管的保护，以避免代价高昂的系统入侵。”

    姚磊建议，考虑到数据泄露往往会伴随巨大的经济损失，政企单位应加强对内部特权人员和特权账号、凭证的管控。

    现状来看，随着《网络安全法》的颁布和实施，政企单位在网络安全的投入是在逐年增加的，但往往更多的关注在终端、网络、云基础设施的安全建设上，《数据安全法》颁布和实施时间较晚，政企单位在数据安全的投入相对较少，这其中更是很少会优先关注内部特权人员的安全管理。

    无数事实证明，大规模的数据泄露事件，往往都是由于一两个内部特权人员的一次恶意操作导致的，所以在数据安全建设方面优先加强对数据访问权限特别是对特权账号和特权行为的管控，是解决数据安全问题最快最有效的方式。同时从政府政策端、监管端，也需要帮助各重点领域部门、企业树立数据安全防护意识。

    目前，奇安信推出的特权访问管理解决方案，包含了奇安信网神特权账号管理系统、奇安信网神运维安全管理系统（堡垒机）、奇安信网神数据库运维安全管理系统三款可以联动的产品。此方案通过建立完整的特权账号台账、搭建安全的特权访问通道、加强细粒度的命令控制和访问审计措施、制订特权账号密码轮换、存储与备份机制、完善的机机交互能力，实现对各类基础设施资源账号的全生命周期管理，帮助客户提升账号安全的主动防御能力，降低特权账号管理不善所带来的数据安全风险。

    去年底全球企业增长咨询公司Frost & Sullivan发布《全球特权访问管理 (PAM) 解决方案增长机会研究报告》显示，奇安信凭借“特权账号生命周期管理流程”的特权访问管理解决方案，以16.0%的市场份额位居中国市场第一，并当选全球范围内主要PAM供应商。

    Verizon报告深度解读见《网安26号院》2023年第6期。