据统计,80%的黑客攻击中涉及到的数据泄漏事件与失窃的特权身份有关。失窃的特权身份是几乎每次严重攻击的共同因素,原因很简单:攻击者需要通过窃取的特权身份凭证,来获得访问企业最关键资产信息的权限。特权身份凭证是访问网络关键基础设施以及窃取数据所必需的前提条件。
回顾23年初至今,全球频繁爆出因为特权身份泄漏而导致的严重安全事件问题(其中勒索攻击事件首当其冲且危害巨大):
- 1月,黑客团伙Lapsus$宣布使用“superuser”账户入侵了Okta,并发布了据称获取自内部系统的屏幕截图。事后确认,共有366名Okta客户因此受到影响;
- 5月,美国德克萨斯州达拉斯市,因Royal勒索软件攻击,被迫关闭所有IT系统,攻击始于域服务器账号被盗,导致Royal团队使用该账号获得市网络访问权限,并最终导致1.169TB的敏感数据泄漏;
- 8月,MGM国际酒店集团遭遇勒索软件攻击,攻击始于Okta中的高权限账号失窃,导致数百台ESXi服务器被勒索加密,从而造成每天高达840w美元的损失。
攻击还原
经过分析,上述安全事件的攻击路径溯源大致如下:
- 收集机构或者员工的情报信息
- 锁定目标受害人(IDP系统中可能具有高权限账号的人员)
- 通过钓鱼等方式发起攻击,获取高权限账号人员的账号信息
- 侵入到IDP系统中,通过账号的超管权限,开始横向扩展以及持久化处理(如获取全局管理员或其他管理员权限)
- 窃取企业核心敏感数据
- 加密关键基础设施(如ES服务器)中的所有虚拟机和服务
所有的安全事件几乎都始于高权限(特权)账号的泄漏,在当今数字化时代,企业面临着越来越复杂,并且隐患重重的网络安全威胁。特权访问是组织最有价值资产的入口,几乎是每次重大安全漏洞的核心。组织必须制定一套完整的策略来管理和监控特权访问,并在需要时及时检测和应对威胁,以减轻来自当今先进黑客攻击的风险。
经验教训和缓解措施
为了加强安全措施并减轻类似的攻击,组织应考虑以下策略:
- 最大限度减少特权账号的风险暴露面
人员是攻击向量中最薄弱的环节,通过特权账号管理组件(PAM),最大限度减少特权账号暴露,从而遏制攻击者网络钓鱼等针对人员攻击的尝试;
- 隔离保护组织最关键的身份凭证信息
密码保险箱(Vault)专属区域,隔离保护特权账号密码,再通过最小权限原则来确保只有合适的人员具有对敏感应用程序和基础架构的必要访问级别,且仅限于完成其工作所需的权限;
- 监控异常特权访问行为
检测可疑活动至关重要,组织应考虑实施特定日志来跟踪和分析特权身份的信任变化,并且为潜在的安全漏洞提供有价值的处置见解。
最佳实践:奇安信特权访问安全
奇安信已经开发了一套成熟的特权访问安全解决方案,以帮助组织建立行之有效的特权访问安全计划。奇安信在“特权访问安全”领域拥有近10年的技术积累,也是国内独家将SDP架构应用于特权访问安全领域的厂商,相比传统堡垒机只关注特权会话的单一方案,在特权安全性、特权身份管理成本、特权身份纳管范围等维度都进行了全面升级,为特权访问提供端到端的访问安全防护。
奇安信提供给组织一套简单而全面的“特权访问安全”指导性蓝图,使组织的特权访问安全计划与潜在的数据泄漏/勒索病毒等安全风险降低目标紧密结合,从而帮助组织能够尽快解决其当前最大安全困扰。
蓝图考虑了数字化时代的组织及其业务可扩展性的需求。它可以为使用传统的本地基础设施和软件开发方法的组织,以及正在进行数字转型(如将基础设施迁移到云端、采用CI/CD实践或通过机器人流程自动化流程等)的组织,提供了特权访问安全控制的最佳实践建议。
作为国内“特权访问安全”的领导者,奇安信已然具备了提供全面有效的特权访问安全解决方案的能力:
- 奇安信是国内Top级综合型网络安全厂商,拥有国内55+办事处提供本地技术支持服务,同时,在“特权访问安全”领域,奇安信以16%的市场份额稳居中国第一,并且以39.7%的收入增长率快速增长。
- 奇安信特权访问安全解决方案得到几乎全行业客户认可,项目覆盖了企业、银行、教育、政府、医疗等各行各业。
- 奇安信特权访问安全解决方案严格遵从SSDL安全研发标准实施软件开发安全体系建设,截至2023年实战攻防演习结束,已经连续四年客户侧未发现0day漏洞攻击,产品自身安全性“遥遥领先”。
结束语:特权账号是数据安全重要维度,亟待体系化保护
从上述的分析可以看出,企业机构一系列错误和疏忽,最终导致最明显、最具破坏性的攻击,其后果极其严重。为了减轻类似的攻击,组织应重点关注最大限度减少特权账号的暴露、隔离保护组织最关键的身份凭证信息、监控信任变化并及时了解应对不断变化的安全风险,防止特权账号的滥用和泄漏,从而保护系统和数据资产的安全性。
作为直接接触组织关键IT资产和数据资源的入口,特权账号是通往企业数据大门的“钥匙”,要实现数据安全的精准防护,首先就是要管特权、“防内鬼”。在技术变革快,安全风险复杂,合规性要求越来高的背景下,企业迫切需要一套体系化的安全能力来应对新技术、新场景带来的新挑战。对此,奇安信推出了数据安全保护系统“奇安天盾”,它以数据资产为核心,特权账号安全为关键组件,形成了一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系。这套系统能帮助客户实现数据安全风险能看清、内鬼能管好、攻击能防住的“三能”目标,构建起包括特权访问安全在内的体系化数据安全能力。