企业动态

    近日，美国微软公司对外宣布，有某国政府支持的黑客组织利用弱密码侵入公司网络，访问了高管及安全、法务团队成员的电子邮件和文件。

    分析人士指出，这是多年以来至少第二次，微软因不遵守基本网络安全措施而导致可能伤害客户的漏洞。微软向美国证交会（SEC）提交披露文件中显示了此次攻击造成的后果：“从2023年11月下旬开始，威胁行为者通过密码喷洒攻击侵入一个遗留的非生产测试租户账号，获得了立足点。此后，他们利用该账号的权限访问了微软公司的少数电子邮件账号，包括高级领导团队成员及网络安全、法务和其他职能团队员工，并窃取了一些电子邮件及附件。”

    黑客组织持续入侵，然而直到近期，微软才察觉到这次入侵。这意味着黑客组织可以在长达两个月的时间里持续访问相关账号，其造成的严重后果而想而知。

    究其原因，是因为微软网络内某台设备使用了弱密码，却没有启用双因素认证。某国黑客组织通过不断尝试先前已暴露密码或常用密码，最终成功猜中了正确密码。攻击者随后完成账号访问，说明微软没有启用双因素认证，或者这一保护措施被绕过。

    无独有偶，日前谷歌旗下安全公司Mandiant的推特账号也遭到入侵。Mandiant后来表示，入侵者对账号密码进行了“暴力破解”攻击。Mandiant没有提供更多细节。这说明，Mandiant的推特账号的密码同样很弱，也没有启用双因素认证。

    “网络攻击手段日新月异，针对身份和权限的攻击手段日渐成为主要形式。”奇安信零信任事业部总经理张泽洲认为，微软这次被入侵的事件充分说明，要保证业务和数据安全，仅靠一次性的双因素认证是不够的，尤其是内网系统中的高敏感应用访问；系统需要根据人员、终端环境、访问行为等因素动态调整认证策略，兼顾安全与易用，访问过程中，根据风险情况，持续验证身份是否可信。

    张泽洲表示，零信任理念强调以数据资源为中心，针对要保护的数据制定细粒度的权限策略。其策略通过主体、客体和环境的多维属性来构建，持续评估，影响策略的属性变了，用户的权限就自动变了，这是一种弹性的、敏捷的思路，可以有效对数据实施保护。

    其中，动态授权是零信任落地的核心，数据安全访问的痛点是信任问题，而动态授权体系是数字化时代解决信任问题的手段，通过在数据层面进行分类分级、在访问层面进行精细化访问控制的方式，“明确是什么部门的什么人、在什么地方、因为什么任务、访问什么数据里的什么字段。”

    奇安信2023年推出的奇安天信零信任工作系统（简称：奇安天信），就是一款聚焦各种数字化业务场景，以安全内生为根本的新一代零信任产品。它以身份为基石，通过先验证后访问，动态最小权限访问，构建起业务安全新边界；通过自适应多维身份认证，确保人员可信；通过安全终端管控，持续环境感知评估，确保设备可信；通过全场景业务流量代理，确保流量可信；通过动态最小权限业务访问，确保访问可信。

    从微软到谷歌，即便是大型科技巨头，也不可避免存在弱密码、未启用双因素认证等安全隐患。奇安信数据安全专家认为，企业对于高敏数据的访问，除了双因素等单点安全能力，更需要对自身数据资产“摸清家底”，不断完善访问链路与策略管理，对数据访问行为实时评估判断，对异常行为及时发现和阻断，才能提供更安全可信的数字化工作环境，更好支撑数字化业务的开展。