qax特权账号安全能力建设学习咨询
特权账号安全前 言
Gartner 发布的《Guidance for Privileged Access Management》中, 术语“特权账号”是数据中心内部,分布在主机、网络设备、数据库等资产 上具有较高访问权限的账号,衍生到一切资产上具有可访问权限的账号。 在组织运营过程中,这些特权账号通常由 IT 运维人员管理,各角色人员开 展系统管理、业务运营、系统运维等系统维护、权限变更、数据删除、下载 导出等高级权限操作。特权账号是直接接触组织关键 IT 资产和数据资源的 入口,一旦特权账号被盗用、误用、滥用,将为组织信息系统带来严重破坏 性的后果。
近两年数据泄漏事件频频发生,究其根源,泄漏的凭据是导致数据泄 漏事件的主要原因。在网络安全日趋成熟的情况下,与其穿透层层防护窃 取数据本身(数据库),不如窃取账号,通过内网横向移动,利用特权账号 的管控手段缺失,最终攻破特权账号,再利用特权账号权限对系统进行恶 意破坏,如执行删库、删表等高危操作,达到破坏或窃取敏感数据的目的。
特权账号的管理作为数据资产防护极为关键的环节,已经在 2018 年、 2019 年连续两年被 Gartner 评为十大安全项目之首。但目前国内对特权账 号安全的认识仍处于早期,本报告将围绕国内特权账号安全管理的现状, 总结分析特权账号管理过程中的风险和困境,提出基于特权账号生命周期 的管理原则和方法,降低因特权账号和口令管理不善等带来的数据泄漏风 险。
数据安全形势催生特权账号管理新需求
业务创新、数据上云、数据共享,IT 环境变得复杂,人与机器、机器 与机器之间交互增多,账号数量随之增多,也扩大了风险暴露面。从近年数 据安全事件以及攻防演练来看,特权账号一直是攻击者的首要目标,利用 特权账号可以轻易盗取、破坏组织数据。
目前,一方面随着法律法规的陆续发布,账号、资产和权限的要求逐步 细化和强化;另一方面随着访问环境变得更复杂更开放,所带来的管理难 度呈指数型上升。因此,特权账号带来的数据泄漏风险成为组织的首要关 注点,组织需要建立一套行之有效的特权账号安全管理生态系统,以减缓 来自内部和外部的威胁。
(一)特权账号安全成为数据泄漏的首要原因
数据访问是由主体访问数据客体的过程,而账号作为主体访问客体的 重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或 其他数据资源。保障账号安全是组织数据安全工作的重要目标之一,但由 于系统和应用程序的不断增加,账号安全问题日益突出,特别是账号的滥 用,如数据管理团队通常需要高权限的数据访问账号,组织在账号权限分 配阶段通常会充分考虑“最小权限原则”,但在长时间的数据管理的工作 中,因为“便利性”的需要造成账号的肆意共享、凭证的滥用等问题屡见不 鲜,这意味着数据访问可能不是账号所授权的实际员工,因此提高了数据 泄漏的风险。
据 IBM Security 发布的《2021 年数据泄漏成本报告》指出,最常见的 初始化攻击路径为凭证窃取,所占比例高达 20%。报告也揭示了一个日益严 重的问题,数据(包括凭证)在数据安全事件中遭到泄漏可能用于传播进 一步的攻击,82%的受访者承认在多个账号中重复使用口令,泄漏的凭据既 是数据泄漏事件的主要原因,同时也是主要影响,导致组织面临复合风险。
来源:IBM Security《Cost of a Data Breach Report 2021》
(二)针对特权账号的攻击成本低破坏性强
在组织的 IT 架构中,基础设施、数据、应用等资源一般位于组织数据 中心内网,仅向互联网开放有限端口或完全不开放,并在网络边界建立相 应的安全防护机制,以达到抵御大部分的威胁目的。随着数据作为新型的 生产要素,攻击者的目标变为了窃取数据,特权账号作为访问数据资源、 配置策略、接触数据最直接的入口,在网络安全日趋成熟的组织 IT 架构中, 与其穿透层层内网防护设施窃取数据本身(数据库、文件服务器等),不如 利用特权账号管控手段的缺失,盗取高权限账号,攻击成本非常低且有效; 利用特权账号在目标系统中不受限地进行各种操作,从而达到数据窃取、 破坏等目的,轻则造成系统配置异常,短时间内影响业务系统的连续性, 重则删除或盗取组织重要数据、核心数据,造成严重的经济损失甚至危害 国家安全。
(三)攻防演练中特权账号已成最大弱点
从近年的攻防演练中分析发现,因涉及到攻击者的最终利益,特权账 号往往是攻击者瞄准的重点攻击目标。攻击者窃取特权账号后进行内网横 向移动,最终达到获取组织管理权限或破坏/窃取组织数据的目的。针对账 号攻击链条进行分析,一般步骤如下:1.账号攻击的第一步通常是窃取账号 口令,通过钓鱼攻击或利用弱口令、口令明文存储等漏洞,入侵组织内网环 境;2.突破内网之后的横向移动,横向移动最主要的手段就是未知账号的扫 描和爆破,实战中通过弱口令获得权限的情况占比高达 70%以上,包括生 产系统、信息系统、如 Unix/Linux、windows 等底层操作系统、SQL Server、 MySQL、Oracle 等数据库。虽然有些系统口令复杂度较高,但它们通常有 口令相同或规律口令等问题,此类口令也极易被猜解;此外哈希传递攻击、 进程间通信计划任务、票据传递攻击等都可以实现突破内网之后的横向移 动,甚至可以不需要知道明文口令的情况下,利用执行木马、哈希攻击、票 据欺骗等多种手段,获得目标(通常是域控)服务器的管理权限。**3.**获取权 限后进行违规查询、破坏、窃取数据。可通过数据库特权账号执行删库、 删表等高危操作进行破坏数据,或通过特权账号口令窃取敏感数据;攻击 者还可通过特权账号破坏业务系统、运行勒索软件等,造成组织数据安全 事件等严重后果。
参考资料
2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南