声明
本文是学习特权账号安全能力建设桔皮书. 下载地址 http://github5.com/view/472而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
数据安全形势催生特权账号管理新需求
业务创新、数据上云、数据共享,IT环境变得复杂,人与机器、机器与机器之间交互增多,账号数量随之增多,也扩大了风险暴露面。从近年数据安全事件以及攻防演练来看,特权账号一直是攻击者的首要目标,利用特权账号可以轻易盗取、破坏组织数据。
目前,一方面随着法律法规的陆续发布,账号、资产和权限的要求逐步细化和强化;另一方面随着访问环境变得更复杂更开放,所带来的管理难度呈指数型上升。因此,特权账号带来的数据泄漏风险成为组织的首要关注点,组织需要建立一套行之有效的特权账号安全管理生态系统,以减缓来自内部和外部的威胁。
特权账号安全成为数据泄漏的首要原因
数据访问是由主体访问数据客体的过程,而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或其他数据资源。保障账号安全是组织数据安全工作的重要目标之一,但由于系统和应用程序的不断增加,账号安全问题日益突出,特别是账号的滥用,如数据管理团队通常需要高权限的数据访问账号,组织在账号权限分配阶段通常会充分考虑“最小权限原则”,但在长时间的数据管理的工作中,因为“便利性”的需要造成账号的肆意共享、凭证的滥用等问题屡见不鲜,这意味着数据访问可能不是账号所授权的实际员工,因此提高了数据泄漏的风险。
据IBM Security发布的《2021年数据泄漏成本报告》指出,最常见的初始化攻击路径为凭证窃取,所占比例高达20%。报告也揭示了一个日益严重的问题,数据(包括凭证)在数据安全事件中遭到泄漏可能用于传播进一步的攻击,82%的受访者承认在多个账号中重复使用口令,泄漏的凭据既是数据泄漏事件的主要原因,同时也是主要影响,导致组织面临复合风险。
来源:IBM Security《Cost of a Data Breach Report 2021》
针对特权账号的攻击成本低破坏性强
在组织的IT架构中,基础设施、数据、应用等资源一般位于组织数据中心内网,仅向互联网开放有限端口或完全不开放,并在网络边界建立相应的安全防护机制,以达到抵御大部分的威胁目的。随着数据作为新型的生产要素,攻击者的目标变为了窃取数据,特权账号作为访问数据资源、配置策略、接触数据最直接的入口 ,在网络安全日趋成熟的组织IT架构中,与其穿透层层内网防护设施窃取数据本身(数据库、文件服务器等),不如利用特权账号管控手段的缺失,盗取高权限账号,攻击成本非常低且有效;利用特权账号在目标系统中不受限地进行各种操作,从而达到数据窃取、破坏等目的,轻则造成系统配置异常,短时间内影响业务系统的连续性,重则删除或盗取组织重要数据、核心数据,造成严重的经济损失甚至危害国家安全。
攻防演练中特权账号已成最大弱点
从近年的攻防演练中分析发现,因涉及到攻击者的最终利益,特权账号往往是攻击者瞄准的重点攻击目标。攻击者窃取特权账号后进行内网横向移动,最终达到获取组织管理权限或破坏/窃取组织数据的目的。针对账号攻击链条进行分析,一般步骤如下:1.账号攻击的第一步通常是窃取账号口令 ,通过钓鱼攻击或利用弱口令、口令明文存储等漏洞,入侵组织内网环境;2.突破内网之后的横向移动,横向移动最主要的手段就是未知账号的扫描和爆破,实战中通过弱口令获得权限的情况占比高达70%以上,包括生产系统、信息系统、如Unix/Linux、windows等底层操作系统、SQL Server、MySQL、Oracle等数据库。虽然有些系统口令复杂度较高,但它们通常有口令相同或规律口令等问题,此类口令也极易被猜解;此外哈希传递攻击、进程间通信计划任务、票据传递攻击等都可以实现突破内网之后的横向移动,甚至可以不需要知道明文口令的情况下,利用执行木马、哈希攻击、票据欺骗等多种手段,获得目标(通常是域控)服务器的管理权限。3.获取权限后进行违规查询、破坏、窃取数据。可通过数据库特权账号执行删库、删表等高危操作进行破坏数据,或通过特权账号口令窃取敏感数据;攻击者还可通过特权账号破坏业务系统、运行勒索软件等,造成组织数据安全事件等严重后果。
特权账号管理面临的安全挑战
特权账号自身风险
系统数量多,特权账号梳理难
特权账号由于其分布广、数量多的特点造成特权账号梳理难,组织管理员无法全面的掌握特权账号动态情况。
分布广, 特权账号散落分布在应用程序、数据库、网络设备、安全设备、操作系统中;特权账号的持有人分布广,持有人可能是在数据中心运维人员,也可能是组织总部业务、后勤、人力等任何一个部门的人员,还有可能是偏远子分公司的业务运营人员等等。
数量多, 一个组织信息系统资产(软件、硬件等)可能会被创建多个特权账号,系统新建、改建、扩建、维护、下线等过程,都会产生大量的特权账号。据估算,特权账号的数量可能达到组织信息系统(主机操作系统、数据库、业务系统、管理系统等)数量的5-10倍,甚至更多。
风险账号多,账号口令易泄漏
由于组织管理者难以实时发现特权账号的数量变化、具体分布、使用情况等信息,导致系统资产出现各类的风险账号。这些风险账号由于其隐蔽性往往给系统资产带来很大的安全隐患。风险账号主要包括如下几种:
幽灵账号 ,组织管理员或因业务新建账号的临时需求或因系统升级、维护、下线等业务变化或因管理的疏忽造成的大量无人负责无人管理维护的账号。
僵尸账号 ,第三方人员、离职员工、临时访客等留下的过期、多余账号不能及时清除;或由于测试账号使用后未及时清除;或设备、应用、程序等下线而未及时清除账号,导致存在长期无人使用的账号。
后门账号 ,有意或恶意创建的非法账号。
弱口令账号 ,弱口令是指账号口令复杂度策略配置较低,或容易被攻击者获取的口令,通常有简单口令、默认口令、空口令、规律性口令、社会工程学弱口令等。由于其口令强度过弱,容易被攻破,为每年HW的十大安全漏洞之首。
长期未改密账号 ,由于组织管理员管理疏忽或者因应用系统内嵌账号问题,导致系统长年不能改密的账号。它们存在合规风险,给攻击者提供充足的时间窗口。
人员风险
以往特权账号一般只掌握在少数组织管理者手中,由他们进行定期的系统维护,但随着组织信息化及数字化建设的深入,组织IT资产的数量及关联的部门都逐步增多,因此,特权账号的持有者也变得越来越多,覆盖的部门及外部供应商也越来越复杂。其中,内部的人员角色,包括运维人员、开发人员、测试人员等,涉及的部门往往包括安全部门、运维部门、开发部门、业务部门、财务部门等,而外部供应商则涉及外包开发人员、外包运维人员、第三方系统的供应商的售后维护人员等。
人员角色复杂,账号权限管理难
根据 Haystax 于 2019 年发布的网络内部安全威胁报告,内部威胁已成为数据泄漏的第二大原因。内部特权滥用在当今各种规模的组织中都是一个迅速增长的问题,由于人员角色复杂,权限划分并不清晰,往往存在账号共享使用及账号权限过度开放等问题,使得内部的不法人员有机可乘,可以通过“合法账号”直接访问到核心业务和数据资源,造成组织内部数据泄漏或系统破坏。
人员调岗、离职账号权限不能及时清除
特权账号在组织内部的跨部门使用特性,导致特权账号的管理难度大大增加。存在人员调岗、离职时,其掌握的账号权限未能及时收回或清除的现象。一方面,随着时间的推移,系统中会沉淀大量僵尸账号与幽灵账号,甚至这些账号的口令已经遭到泄漏或存在弱口令问题,使其成为组织内部极大的安全漏洞;另一方面,调岗或离职人员,若存不轨之心,也可以轻易利用这些没有及时清除的账号权限进行恶意破坏,或非法访问并下载敏感数据。
供应商人员流动性大,账号管理难度加剧
供应商是支撑组织业务和系统正常运行的重要构成部分,几乎每个组织都依赖多个供应商来完成工作。根据业务和履行合同的需要,供应商需使用特权账号访问组织的内部基础设施和数据资源。由于供应商人员数量多、流动性大的特点,导致账号及权限管理的难度加剧,账号口令被人为扩散和传播的风险也随之增加,且存在特权滥用、私自创建后门账号,以及账号口令被篡改或遗失的风险。
管理风险
随着资产日益增加,应用系统疯狂增长,应用系统类型日益复杂,对特权账号管理要求越来越高,特权账号口令的管理成为新的挑战。如有些用户的应用系统中存在长期不更改口令的情况;应用系统之间交互,通过账号口令明文方式存储,且账号口令无备份机制;账号口令需要在各个部门之间流转,存在极大外泄风险。通过以上的分析,特权账号口令有如下的问题:
账号多、分布广,定期改密难
随着业务增长,管理资源的增多,各种账号动辄上万,分布在主机、网络设备、数据库等资产上,如果全部手工管理,不仅耗时耗力,而且准确度低,维护的成本高,出错可能性大,改密过程不可靠,容易造成口令丢失。由于业务系统的差别,改密策略难以统一下发,无法做到定期修改口令。另外口令的长期未改密,增加口令泄漏的风险,导致核心数据失陷。
应用内嵌或明文存储账号口令易泄漏
应用内嵌账号,指的是账号口令明文写在某个配置文件中的账号。这些账号权限高、易外泄,不符合密码应用规范。很容易造成口令的泄漏,导致组织关键数据泄漏,给组织带来重大的损失。
明文存储账号,如明文存储在Excel表格、笔记本或文本中,一旦终端失陷,将造成大批核心主机或数据库失陷,极具安全隐患;
特权账号无备份机制,口令易丢失
应用系统扩展、增加都会产生大量的特权账号,没有特权账号备份机制,容易造成口令丢失,影响业务连续性。随着人员的流动,人员交接不细致或应用系统不经常登录,从而导致口令遗失事件频繁发生,亟需建立完善口令存储机制。
延伸阅读
更多内容 可以点击下载 特权账号安全能力建设桔皮书. http://github5.com/view/472进一步学习
联系我们
DB21-T 3236-2020 YZ复合保温免拆模板应用技术规程 辽宁省.pdf