企业动态

    1月17日，奇安信在京正式发布数据安解决方案——数据卫士套件。套件包含“一中心四卫士”分别从特权账号管理、访问权限控制、个人隐私防护、API安全管理以及数据安全态势感知方面，帮助客户构建数据安全闭环体系。

    作为其中重要组成部分，“特权卫士”首次实现了“人+机器+流程”的模式，可针对拥有特殊访问权限的主体(包括人、账户和设备)实现持续的分析检测，改变了传统单纯的特权账号的管理与运维模式，大幅降低了政企机构因特权账户被入侵或被恶意使用而导致数据泄露的风险。

    特权账户失窃是数据泄露的重要因素

    据IBMSecurity发布的《2021年数据泄露成本报告》指出，最常见的初始化攻击路径为凭证窃取，所占比例高达20%；82%的受访者承认在多个账号中重复使用密码，泄露的凭据既是数据泄露事件的主要原因，同时也是主要影响，导致组织面临复合风险。

    无独有偶，美国电信巨头威瑞森发布的《2021数据泄露调查报告》显示，在其分析的近80000起安全事件中，超过61%的数据泄露事件与访问凭证失窃有关。从这两份权威数据中不难看出，盗用身份凭证仍然是黑客最常用的攻击手段，是造成数据泄露最重要的因素之一。

    “不夸张的比喻，特权就是账号是通往数据大门的‘钥匙’。”奇安信数据安全子公司副总经理姚磊在发布会上说，实际上机构内部员工都具备访问特定企业内部数据的权限，这些权限一旦被非法使用，就很有可能导致数据泄露。而特权账户的访问权限普遍要高于普通账户，能够访问到的敏感数据也就更多，其失窃所带来的的损失将会更大。因此，管理好账户尤其是特权账户对于降低数据泄露风险，具有非常重要的作用。

    据姚磊介绍，造成特权账户失窃的原因主要包括以下几种：

    使用123456之类的弱口令；

    使用姓名+生日之类具有明显个人特征的口令；

    在多套账户下使用相同的口令，黑客只要窃取其中一个账户，就很有可能通过撞库攻击窃取所有账户；

    员工对所管理的账户数量、权限等不够了解，导致账户失窃。

    但面对越来越多的账户数量，员工对于账户的管理越来越显得力不从心，因此仅仅依靠人工和流程，并不能完全解决特权账户的管理问题。

    账号安全面临内忧外患

    众所周知，数据访问是由主体访问数据客体的过程，而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或其他系统的数据资源。

    从近些年来的实战攻防演习中来看，特权账户已经成为攻击队的重点攻击目标。因此，保障账号安全是组织数据安全工作的重要目标之一，但由于系统和应用程序不断增加，账号管理问题日益突出。

    需要注意的是，对于特权账户安全而言，并不仅仅只有账户失窃才会导致数据泄露，内部人员的特权滥用同样会导致数据安全事件的发生，这也就是大家俗称的“内鬼”。

    近些年来，“内鬼”导致的数据安全事件频发发生。无论是利用手中账户权限一气之下“删库跑路”，还是内外勾结窃取敏感信息，都会给组织带来重大的损失。

    “面对内外部的威胁，企业必须思考以下几个问题，谁能访问公司的数据?谁能访问公司哪些数据?怎样确保尝试访问的人切实得到授权?怎样判断访问行为是否存在安全隐患?何种情况下需要拒绝有权限用户的访问请求？”专家说，“为有效保护数据，公司必须根据业务需求，基于‘人+机器+流程’的模式，部署适当的访问控制策略，用于解决上述(但不局限于这些)问题。”

    专家强调，访问控制策略应可动态调整，以响应不断进化的风险因素，使已被入侵的公司(特权账号已经泄露)能够隔离相关员工和数据资源以控制伤害。

    特权访问安全的四大关键

    为帮助政企机构做好访问控制，建设完善的特权访问安全体系，奇安信特权卫士采用了以下四个核心步骤。

    首先是特权安全风险评估。奇安信一线专家通过灰盒渗透测试，模拟恶意的内部人员或外包厂商进行灰盒渗透测试，挖掘其中的特权安全风险，帮助客户明确都有哪些特权账号以及谁拥有这些特权账号的访问权限。

    其次是特权访问治理与控制。该方案基于特权访问管理平台、特权威胁分析与感知、密码保险箱等多个组件，可帮助客户按照业务所需建立授权访问规则，同时做好建立起对特权账户的安全存储、使用规则。所有新系统建设，都需要通过既定标准进行特权账号的申请和使用。

    第三是特权行为记录与审计，详细记录账号签入、签出、改密、验证等活动记录，并对特权会话进行实时监控、在线播放和离线播放，实现对特权访问的行为进行监控与分析，从而发现和及时阻断潜在威胁。

    最后特权访问安全的建设是持续增进的，奇安信特权卫士能够不断对接更多系统，包括工单系统、认证系统、云平台、IT资产管理系统等，成为企业IT化的内生能力，最终覆盖企业IT的方方面面，为客户持续监控特权访问行为，及时发现账号威胁，并提供处置建议。