企业动态

    前言：9月1日是《数据安全法》实施一周年，我们重磅推出数据安全“四大名侦探”专题系列，深度解析几年来数据安全领域的“重案要案”，还原案发现场，揭秘事实真相，并给出破解类似问题的锦囊妙计。

    这是一个真实的数据泄密案例。

    国内某家大型地产公司，一位管理AD域的员工离职后把账号密码贩卖给竞争对手，然后竞争对手用这个账号登陆到该公司内网，把这家地产公司的经营数据一股脑儿全部拿走，最终给这家地产公司造成了重大损失。

    常言道，“千防万防，家贼难防”。某些员工到底是“心腹”，还是“心腹大患”，不到关键时刻往往很难鉴别。对于企业而言，最大的风险在于，在数字经济时代，随着数字化转型深入，数据成为核心生产要素，大量和公司经营和业务紧密相关的数据存放在内网，即便99.9%的员工是优秀正直的，只要有个别内鬼，就可能导致满盘皆输。

    01

    名侦探：数据泄露82%和内部人有关

    离职员工风险大

    “美国威瑞森的统计显示，数据泄露事件，82%和内部人有关。”作为本期数据安全“四大名侦探”之一，奇安信集团数据安全子公司副总经理姚磊这样表示。同样根据Haystax于2019年发布的网络内部安全威胁报告，内部威胁已成为数据泄露的第二大原因。

    姚磊认为，从大量真实案例中发现，内部员工不是完全可信的。除了这家地产公司之外，比如，还有一家医疗机构，因为运维人员滥用权限，短时间内违规下载大量医疗机关数据，贩卖获利，给这家医疗机构造成巨大的经济损失。

    不久前，中国裁判文书网披露的一起华为前员工数据泄露刑事案件也引发了舆论关注。刑事裁定书显示，华为员工易某调离岗位后未清理ERP登录信息，利用bug越权访问，将所获得数据透露给华为供应商、上市公司金信诺，最终因非法获取计算机信息系统数据罪被判处有期徒刑。在该案中，由于企业数据权限管理上的漏洞，导致了整个数据泄露事件的发生。

    微盟核心员工贺某私自删除数据库，直接导致公司SaaS业务突然崩溃，基于微盟的商家小程序都处于宕机状态，300万家商户生意基本停摆，生意快做不下去了。同时，微盟自身也蒙受巨大损失，短短几天公司市值就蒸发超过20亿港元。

    在国外这样的事情也屡见不鲜。2020年8月，媒体曝出思科曾有某程序员，在离职5个月后，擅自删掉思科456台虚拟机，致使公司损失1600多万元。由于是多人使用一个账号，导致这起前程序员“删虚拟机跑路”，责任难以界定。

    02

    深度解析：人性弱点+机器漏洞

    疏忽满盘皆输

    姚磊表示，企业实现精准防护首先要“防内鬼”，防内鬼的第一步核心是管理好特权账号，因为特权账号是通往企业数据大门的“钥匙”，最容易成为突破口。

    很多人会发出疑问，离职了尽快冻结账号，密码及时更换，不就解决泄密问题了？但事情远没有那么简单。姚磊认为，弱密码、幽灵账号、僵尸账号、提权账号等风险账号屡禁不止的背后，一定是符合了某些人性和管理的硬伤。

    第一是人的趋利性。“天下熙熙，皆为利来；天下攘攘，皆为利往。”在利益趋势下，总有内鬼不断出现，内部泄密手段防不胜防。而网络犯罪日益猖狂，不法分子无利不起早，新型手段往往能找到最薄弱的一环。

    第二是账号的天然分散性。随着业务增长，管理资源的增多，各种账号动辄上万，分布在主机、网络设备、数据库等资产上，非常分散，难以全面梳理，做不到心中有数。

    以思科前程序员“删虚拟机跑路”的事件为例，后端服务器资源上的账号变化无法有效追踪，如：开发运维人员私自创建的账号、提权的账号、长期不登录的僵尸账号、外包人员申请的临时账号等，由于缺乏行之有效的管理工具，极易造成账号泄露。

    第三是人管理的惰性，弱密码使用的方便性、记忆的便捷性、管理的统一性说明了由人脑设置和管理密码必会导致弱密码的产生。之前媒体报道，乌克兰武装部队某重要系统使用弱口令，账号是admin，密码是123456，引发业内哗然。重要数据资产环境存在的弱口令问题，会使攻击门槛大幅降低，黑客可以通过暴力破解或其他方法轻易攻破核心资产的“大门”，对数据安全造成极大威胁。

    图调研单位基础设施存在的账号管理方面的问题和痛点（赛迪）

    第四是人管理的疏忽性。特权账号使用流程难闭环、密码记不住，存储不安全。之前有不少明文存储账号的报道，如明文存储在Excel表格、笔记本或文本中，一旦终端失陷，将造成大批核心主机或数据库失陷，极具安全隐患。

    第五是机器规则和人工管理的天然矛盾。平台规则不一样，改密难统一、系统内嵌无法改，费时费力且没效果。

    03

    三大“锦囊”给企业数据加上层层“保护锁”

    姚磊总结到，网络安全建设的好坏往往是木桶效应，取决于最薄弱的一环；而特权账号则是直接关系到企业数据安全，往往是内外风险最集中突破的大门。为了保护好这扇大门，姚磊给出了三个“锦囊妙计”:

    锦囊1号——风险可视建立台账

    为防止账号被盗，应当采用专业的安全工具建立特权账号台账。通过台账定期扫描系统账号，发现高风险账号及其分布情况，消除并持续监测账号风险动态；实施系统弱密码扫描专项，录入企业内部专属的弱密码集合，并且一键改密，防止利用相同口令的内网横向移动；综合分析账号活动、账号会话、风险账号情况，识别可疑行为和检测正在进行的攻击，管理人员可以通过梳理的特权账号台账对高风险账号与行为进行快速治理。

    锦囊2号——“往来有序，完善机制”

    姚磊认为，在员工流动成为常态的情况下，往来有序，完善人员管理机制至关重要。企业应当通过统一管理平台一键收回员工账号权限，完善人员管理机制，及时清除过期、多余的账号，避免离职或调岗人员非法访问，落地最小权限管理原则。

    同时，人员管理应根据工作需要，在有限时段内授予用户对特定系统、应用程序或目标设备的访问权限，避免特权账号的长期持有，并采取细粒度的命令控制策略，阻断权限升级及滥用，降低内部人员非法利用特权账号造成数据泄漏或系统破坏的风险。

    锦囊3号——“运筹帷幄，闭环管理”

    为了避免僵尸账号、临时账号长期存在，成为“定时炸弹”，姚磊建议建立特权账号的全生命周期管控机制。它覆盖账号生成、属性变更、账号存储、账号使用、口令轮换、账号销毁等特权账号生命周期的各个环节，确保账号安全可知、可管、可控、可查。针对各类账号，应当通过制定完善的改密策略，定期自动地下发账号改密命令，批量地修改特权账号口令，消除风险账号。以及建立特权账号存储的高安全性、高可用性及灾备能力，完善的账号口令备份机制，牢牢保护账号安全。

    04

    结束语：

    最后，姚磊给出了解决特权账号难题的终极大招——特权账号安全方案。他认为，特权账号、密码的管理不是靠人力和制度能做好的事情，而特权账号安全方案，可以无忧解决特权账号的管理问题和安全挑战。

    图特权账号管理系统核心功能架构

    总而言之，特权账号安全方案是利用设备去做特权账号全生命流程的管理，以及高安全性密码存储方案，即可帮助广大数字化转型中的政企客户消除数据泄密的风险，应对内鬼泄密、外部入侵等安全挑战。在不久前赛迪发布的《中国特权账号管理平台市场研究报告(2022)》(以下简称《报告》)中，奇安信被列为特权账号领域重点头部厂商之一。

    文中某些图片来源于网络