不像“棱镜门事件”那么广为人知,今年4月份发生的“巴拿马事件”,很快就被遗忘了。原因之一,可能在于已经无法通过网络查询到该事件的相关报道。
然而,在信息安全厂商眼里,则是信息安全防护的逻辑:“巴拿马事件”涉及到的文件是很机密的,为什么会泄露?
“棱镜门事件”中,斯诺登在公开视频中介绍自己时曾表示:不要以为我是个电脑专家,我只是一个管理人员。
CyberArk大中华区销售总监潘耀康评论说:任何管理人员,如果拿到两个特权账号,就能从全球最安全的机构美国国家安全局拿到想要的机密文件。
这似乎是危言耸听,然而事实如此。潘耀康说,过去几年,超过90%以上的网络攻击,都是与特权账号有关的;而且,过去五年,所有泄密的案例都与密码的泄露有关。
多年来,信息安全大行其道,从网站安全到网络安全防护,几十上百种细分领域,显示着信息安全的重要性与脆弱性,但在事实上,信息安全的基础,却是密码管理。
实际上,任何人,如果拿到IT系统的钥匙,也就是特权账号,就能从服务器到防火墙,到数据库,想拿到的东西、想破坏的东西,全部畅通无阻。
过去,企业采取了很多信息安全保护措施,但是黑客的攻击还是会发生,甚至每天都在发生。原因在于,黑客对企业的特权账号更有兴趣,因为影响更大,获利的可能性更高。这导致全球对信息安全的要求越来越高,包括中国。
十年前,大家都认为密码管理很简单,但是这几年,所有黑客的攻击都与密码有关。“企业在周边的信息安全防护上做了很多工作,但实际上核心的保护却并没有做好,这才让很多企业意识到,一个看似简单的密码管理,实际上是技术安全的核心所在。”潘耀康说。
特权账号管理,从信息安全防护措施被忽略的一角,进入到一片蓝海。
那么,什么是特权账号管理?
一台PC的登录密码,可以算个人的特权账号。对企业来说,则要复杂得多。比如企业内部共用的各种密码;当企业技术安全人员要做系统升级,同样需要系统的特权账号,这些特权账号是共用的,密码也是共用的,并且账户密码的权限一般比较高。
据介绍,特权账号主要分为以下:
一种是系统账号,如Windows、Linux等;第二种是应用软件账号,如Oracle,SAP的应用软件,企业或机构自己研发的应用软件,每个应用软件也会有特权账号;第三种是数据中心账号,很多时候维护的工作是外包的,他们的维护工作也需要特权账号;再有就是网络设备、安全系统和设备的管理账号,如路由器、交换机,防火墙、防病毒、入侵检测等等。
对一家企业尤其是大型企业来说,以上几大类的特权账号,在数量上往往与员工人数形成3-5倍的比例关系,比如,一家企业有1000人,那么就可能有5000个特权账号需要管理。
这是个什么概念?这意味着,当企业发展到一定的规模后,手工管理各种账号已极其困难。
以CyberArk的一个银行客户为例,在没有采用CyberArk解决方案之前,该银行有一个专用的密码保险箱,每个密码都要装在信封里,然后放在保险箱里保管。每次需要使用时,就取出信封,用完之后作废。可以想象这种方式的弊端所在。
对大部分企业来说,当没有专用的软件来管理特权账号时,可能会用一个表格统一记录,存放在电脑或U盘里。但是,由于企业的资料、信息都很机密,况且很多公司要求必须12个数字无规律性排列,并且每30天,15天,2天甚至每用一次就要修改,如果用大脑记忆,或者手工管理,是无法做到的。
资料显示,CyberArk成立于1998年,到今天差不多18年时间,一直从事特权账号管理。目前,CyberArk在欧洲、亚太等区域都设立了分支机构,2014年公司在美国纳斯达克上市。
对企业来说,CyberArk的价值主要体现在三个方面:
首先是账号管理的自动化,比如自动管理与更新,解决大量特权账号手动管理的不便;
其次是满足审计的要求。以上市公司为例,每年要通过相关的IT审计,其中的重要部分就是技术安全如特权账号的说明,谁在用,什么时候用,用了做什么。
然后是技术安全的价值,这是核心价值所在。
潘耀康介绍,整个CyberArk平台有六大模块,共同组成特权账号管理的整体解决方案。从功能的角度,除了提供密码管理,还可以录像,当用户登录进入系统,在什么时间做了什么,全程监控,最重要的能发现异常;除此之外,还可以提供应用软件特权账号的转换。
“从1998年至今,我们专注于特权账户。所以在这方面,我们是专家。”潘耀康表示。