特权账号安全能力建设桔皮书奇安信科技集团股份有限公司年月版权声明本文中出现的任何文字叙述文档格式插图图片方法过程等内容除另有特别注明版权均为奇安信集团指包括但不限于奇安信科技集团股份有限公司网神信息技术北京股份有限公司北京网康科技有限公司所有受到有关产权及版权法保护任何个人机构未经奇安信集团的书面授权许可不得以任何方式复制或引用本文的任何片段前言发布的中术语特权账号是数据中心内部分布在主机网络设备数据库等资产上具有较高访问权限的账号衍生到一切资产上具有可访问权限的账号在组织运营过程中这些特权账号通常由运维人员管理各角色人员开展系统管理业务运营系统运维等系统维护权限变更数据删除下载导出等高级权限操作特权账号是直接接触组织关键资产和数据资源的入口一旦特权账号被盗用误用滥用将为组织信息系统带来严重破坏性的后果近两年数据泄漏事件频频发生究其根源泄漏的凭据是导致数据泄漏事件的主要原因在网络安全日趋成熟的情况下与其穿透层层防护窃取数据本身数据库不如窃取账号通过内网横向移动利用特权账号的管控手段缺失最终攻破特权账号再利用特权账号权限对系统进行恶意破坏如执行删库删表等高危操作达到破坏或窃取敏感数据的目的特权账号的管理作为数据资产防护极为关键的环节已经在年年连续两年被评为十大安全项目之首但目前国内对特权账号安全的认识仍处于早期本报告将围绕国内特权账号安全管理的现状总结分析特权账号管理过程中的风险和困境提出基于特权账号生命周期的管理原则和方法降低因特权账号和口令管理不善等带来的数据泄漏风险目录一数据安全形势催生特权账号管理新需求一特权账号安全成为数据泄漏的首要原因二针对特权账号的攻击成本低破坏性强三攻防演练中特权账号已成最大弱点二特权账号管理面临的安全挑战一特权账号自身风险二人员风险三管理风险三特权账号安全管理思路一建立特权账号台账二建立完善人员管理措施三建立完善的特权账号管理机制四特权账号生命周期安全管理一特权账号发现阶段一特权账号存储阶段二账号使用阶段三账号回收阶段五结语一数据安全形势催生特权账号管理新需求业务创新数据上云数据共享环境变得复杂人与机器机器与机器之间交互增多账号数量随之增多也扩大了风险暴露面从近年数据安全事件以及攻防演练来看特权账号一直是攻击者的首要目标利用特权账号可以轻易盗取破坏组织数据目前一方面随着法律法规的陆续发布账号资产和权限的要求逐步细化和强化另一方面随着访问环境变得更复杂更开放所带来的管理难度呈指数型上升因此特权账号带来的数据泄漏风险成为组织的首要关注点组织需要建立一套行之有效的特权账号安全管理生态系统以减缓来自内部和外部的威胁一特权账号安全成为数据泄漏的首要原因数据访问是由主体访问数据客体的过程而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库数据仓库数据湖或其他数据资源保障账号安全是组织数据安全工作的重要目标之一但由于系统和应用程序的不断增加账号安全问题日益突出特别是账号的滥用如数据管理团队通常需要高权限的数据访问账号组织在账号权限分配阶段通常会充分考虑最小权限原则但在长时间的数据管理的工作中因为便利性的需要造成账号的肆意共享凭证的滥用等问题屡见不鲜这意味着数据访问可能不是账号所授权的实际员工因此提高了数据泄漏的风险特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页据发布的年数据泄漏成本报告指出最常见的初始化攻击路径为凭证窃取所占比例高达报告也揭示了一个日益严重的问题数据包括凭证在数据安全事件中遭到泄漏可能用于传播进一步的攻击的受访者承认在多个账号中重复使用口令泄漏的凭据既是数据泄漏事件的主要原因同时也是主要影响导致组织面临复合风险来源二针对特权账号的攻击成本低破坏性强在组织的架构中基础设施数据应用等资源一般位于组织数据中心内网仅向互联网开放有限端口或完全不开放并在网络边界建立相应的安全防护机制以达到抵御大部分的威胁目的随着数据作为新型的生产要素攻击者的目标变为了窃取数据特权账号作为访问数据资源配置策略接触数据最直接的入口在网络安全日趋成熟的组织架构中与其穿透层层内网防护设施窃取数据本身数据库文件服务器等不如利用特权账号管控手段的缺失盗取高权限账号攻击成本非常低且有效利用特权账号在目标系统中不受限地进行各种操作从而达到数据窃取破坏等目的轻则造成系统配置异常短时间内影响业务系统的连续性特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页重则删除或盗取组织重要数据核心数据造成严重的经济损失甚至危害国家安全三攻防演练中特权账号已成最大弱点从近年的攻防演练中分析发现因涉及到攻击者的最终利益特权账号往往是攻击者瞄准的重点攻击目标攻击者窃取特权账号后进行内网横向移动最终达到获取组织管理权限或破坏窃取组织数据的目的针对账号攻击链条进行分析一般步骤如下账号攻击的第一步通常是窃取账号口令通过钓鱼攻击或利用弱口令口令明文存储等漏洞入侵组织内网环境突破内网之后的横向移动横向移动最主要的手段就是未知账号的扫描和爆破实战中通过弱口令获得权限的情况占比高达以上包括生产系统信息系统如等底层操作系统等数据库虽然有些系统口令复杂度较高但它们通常有口令相同或规律口令等问题此类口令也极易被猜解此外哈希传递攻击进程间通信计划任务票据传递攻击等都可以实现突破内网之后的横向移动甚至可以不需要知道明文口令的情况下利用执行木马哈希攻击票据欺骗等多种手段获得目标通常是域控服务器的管理权限获取权限后进行违规查询破坏窃取数据可通过数据库特权账号执行删库删表等高危操作进行破坏数据或通过特权账号口令窃取敏感数据攻击者还可通过特权账号破坏业务系统运行勒索软件等造成组织数据安全事件等严重后果特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页二特权账号管理面临的安全挑战一特权账号自身风险系统数量多特权账号梳理难特权账号由于其分布广数量多的特点造成特权账号梳理难组织管理员无法全面的掌握特权账号动态情况分布广特权账号散落分布在应用程序数据库网络设备安全设备操作系统中特权账号的持有人分布广持有人可能是在数据中心运维人员也可能是组织总部业务后勤人力等任何一个部门的人员还有可能是偏远子分公司的业务运营人员等等数量多一个组织信息系统资产软件硬件等可能会被创建多个特权账号系统新建改建扩建维护下线等过程都会产生大量的特权账号据估算特权账号的数量可能达到组织信息系统主机操作系统数据库业务系统管理系统等数量的倍甚至更多风险账号多账号口令易泄漏由于组织管理者难以实时发现特权账号的数量变化具体分布使用情况等信息导致系统资产出现各类的风险账号这些风险账号由于其隐蔽性往往给系统资产带来很大的安全隐患风险账号主要包括如下几种幽灵账号组织管理员或因业务新建账号的临时需求或因系统升级维护下线等业务变化或因管理的疏忽造成的大量无人负责无人管理维护的账号特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页僵尸账号第三方人员离职员工临时访客等留下的过期多余账号不能及时清除或由于测试账号使用后未及时清除或设备应用程序等下线而未及时清除账号导致存在长期无人使用的账号后门账号有意或恶意创建的非法账号弱口令账号弱口令是指账号口令复杂度策略配置较低或容易被攻击者获取的口令通常有简单口令默认口令空口令规律性口令社会工程学弱口令等由于其口令强度过弱容易被攻破为每年的十大安全漏洞之首长期未改密账号由于组织管理员管理疏忽或者因应用系统内嵌账号问题导致系统长年不能改密的账号它们存在合规风险给攻击者提供充足的时间窗口二人员风险以往特权账号一般只掌握在少数组织管理者手中由他们进行定期的系统维护但随着组织信息化及数字化建设的深入组织资产的数量及关联的部门都逐步增多因此特权账号的持有者也变得越来越多覆盖的部门及外部供应商也越来越复杂其中内部的人员角色包括运维人员开发人员测试人员等涉及的部门往往包括安全部门运维部门开发部门业务部门财务部门等而外部供应商则涉及外包开发人员外包运维人员第三方系统的供应商的售后维护人员等人员角色复杂账号权限管理难特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页根据于年发布的网络内部安全威胁报告内部威胁已成为数据泄漏的第二大原因内部特权滥用在当今各种规模的组织中都是一个迅速增长的问题由于人员角色复杂权限划分并不清晰往往存在账号共享使用及账号权限过度开放等问题使得内部的不法人员有机可乘可以通过合法账号直接访问到核心业务和数据资源造成组织内部数据泄漏或系统破坏人员调岗离职账号权限不能及时清除特权账号在组织内部的跨部门使用特性导致特权账号的管理难度大大增加存在人员调岗离职时其掌握的账号权限未能及时收回或清除的现象一方面随着时间的推移系统中会沉淀大量僵尸账号与幽灵账号甚至这些账号的口令已经遭到泄漏或存在弱口令问题使其成为组织内部极大的安全漏洞另一方面调岗或离职人员若存不轨之心也可以轻易利用这些没有及时清除的账号权限进行恶意破坏或非法访问并下载敏感数据供应商人员流动性大账号管理难度加剧供应商是支撑组织业务和系统正常运行的重要构成部分几乎每个组织都依赖多个供应商来完成工作根据业务和履行合同的需要供应商需使用特权账号访问组织的内部基础设施和数据资源由于供应商人员数量多流动性大的特点导致账号及权限管理的难度加剧账号口令被人为扩散和传播的风险也随之增加且存在特权滥用私自创建后门账号以特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页及账号口令被篡改或遗失的风险三管理风险随着资产日益增加应用系统疯狂增长应用系统类型日益复杂对特权账号管理要求越来越高特权账号口令的管理成为新的挑战如有些用户的应用系统中存在长期不更改口令的情况应用系统之间交互通过账号口令明文方式存储且账号口令无备份机制账号口令需要在各个部门之间流转存在极大外泄风险通过以上的分析特权账号口令有如下的问题账号多分布广定期改密难随着业务增长管理资源的增多各种账号动辄上万分布在主机网络设备数据库等资产上如果全部手工管理不仅耗时耗力而且准确度低维护的成本高出错可能性大改密过程不可靠容易造成口令丢失由于业务系统的差别改密策略难以统一下发无法做到定期修改口令另外口令的长期未改密增加口令泄漏的风险导致核心数据失陷应用内嵌或明文存储账号口令易泄漏应用内嵌账号指的是账号口令明文写在某个配置文件中的账号这些账号权限高易外泄不符合密码应用规范很容易造成口令的泄漏导致组织关键数据泄漏给组织带来重大的损失明文存储账号如明文存储在表格笔记本或文本中一旦终端失陷将造成大批核心主机或数据库失陷极具安全隐患特权账号安全能力建设桔皮书奇安信集团股票简称奇安信股票代码第页共页特权账号无备份机制口令易丢失应用系统扩展增加都会产生大量的特权账号没有特权账号备份机制容易造成口令丢失影响业务连续性随着人员的流动人员交接不细致或应用系统不经常登录从而导致口令遗失事件频繁发生亟需建立完善口令存储机制三特权账号安全管理思
奇安信 特权账号安全能力建设桔皮书
文档预览
中文文档
21 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共21页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-22 07:09:34上传分享