虽然2014年的很多大型数据泄露事故都源自于外部攻击,但事实是,内部攻击仍然是安全人员的首要考虑问题。事实上,根据PwC最新发表的报告显示,来自现任和前任员工的恶意行为是被提及次数最多网络安全风险,超过了有组织的罪犯、民族国家或其他外部攻击者的攻击行为。在该报告发布后不久,安全行业就证实了这个问题,据报道,AT&T某员工成功地进入客户数据库并访问了约1600位电信用户的敏感信息。
这个数据泄露事故再次强调了特权身份管理和身份识别监控的重要性,企业应该确保员工只能访问其工作需要的数据,而不能滥用其特权来访问数据来破坏客户资料记录。
“我们必须认识到,我们并没有100%的方法阻止具有访问权限的恶意员工访问客户数据。防止这种情况的最好方法是限制访问给那些需要的员工,”BeyondTrust公司开发高级主管Chris Silva表示,“例如,客户支持代表是否需要访问社会安全数据?答案可能是肯定的,所以他们可以确认来电者的身份,但你可以通过日志记录所有交易以及限制个人可以访问的范围来控制潜在的危害”
目前我们还不清楚AT&T泄露事故中涉及的是什么样的员工,但Silva推测该公司可能已经部署了某种控制,鉴于1600条记录只是该公司整个客户数据库中的相对较小的部分。然而,这个事件也给企业敲响了警钟,他们需要找到办法来严格控制对大量敏感数据的访问权限。
“虽然该公司并没有透露更多细节信息,但数据库管理员具有对海量客户数据的无限和未经审计的访问权限并不少见,而且还没有任何监管,”特权身份管理公司Lieberman首席执行官Phil Lieberman表示,“最可怕的一种情况是,攻击者感染数据库管理员,并获取其访问权限来暗中窃取信息用于转售或其他用途。”
更好的特权访问管理还可以带来更好的问责制,这可以潜在地检测某种类型的知识产权盗窃。因为对于很多公司,都有几十个涉及知识产权的内部攻击没有被报道:当事情在内部发生时,很多企业会选择不告诉任何人,除非他们在法律上被要求这样做。PwC的调查显示,75%的企业并没有报道内部盗窃。
同样地,实行所谓的最小特权规则可以阻止外部攻击,因为他们通常通过糟糕管理的特权账户来渗透网络。
下面是企业可以采用的几个主要方法:
1、列出特权账户
“如果你不能有效衡量特权账户的范围,你将永远无法删除或管理它们,”Silva表示,“审计员基本上想要知道所有这些特权账户在环境中的位置。”
企业还应该认识到,特权用户可能包括不同的角色,除了IT管理员之外。
“传统上,我们会将管理员称之为特权用户,但在实践中,重要用户(例如业务线管理员)也可能通过IT系统造成严重问题,”BalaBit公司产品经理Csaba Krasznay表示,“出于这个原因,我们建议企业也应该控制和监控其活动。”
2、附加身份信息到账户
内部人员泄露事故可能永远不会被发现,如果超级用户账号登录凭证为共享,并由多名员工在IT和企业其他部分被反复使用。你可能会认为应限制这种访问类型,但这些账户每天都在企业共享。
“基本步骤是,企业应该对所有特权访问提供责任制,”Kraszny表示,“所有特权用户都应该有自己的身份信息。”
3、限制员工对数据的访问
AT&T泄露事故强调了自动化系统不仅应该监控对敏感系统的访问,还应该限制员工如何可以积累对这些数据的访问。
他表示:“这种情况指出了对行为分析以及响应系统的需求,当违反数据访问的‘正常’行为时,应该处罚锁定和企业响应。”
4、监控和其他超级用户风险缓解
有时候企业可能无法为每个特权账户捆绑用户身份信息。在这种情况下,监控和其他缓解做法有助于降低风险。
“对于很多企业来说,强大的特权密码管理做法,加上管理员凭证的登入与登出、自动密码循环、会话记录,就已经足够了,”Silva表示,“在某些情况下,企业可能需要耕细粒度的授权政策,在必要时,移除用户的管理员或根级登录凭证。”