身份管理對防止數據外洩的重要性
雖然 2014 年很多大型數據外洩事故都是源於外部攻擊,但事實是,內部攻擊仍然是安全人員的首要考慮問題。事實上,根據不同的報告顯示,來自現任和前任員工的惡意行為是被提及次數最多的網絡安全風險,超過了有組織的罪犯或其他外部攻擊者的攻擊行為。
早前有報導便指出,AT&T 某員工成功地進入客戶數據庫並讀取了約 1600 位電迅用戶的敏感訊息,可見身份管理的重要性。
防止外洩的 4 個身份管理技巧
這個數據外洩事故再次強調了特權身份管理和身份識別監控的重要性,企業應該確保員工只能進入其工作需要的位置及只可讀取相關數據,而不能濫用其特權來讀取其他數據,例如是客户的私人資料等。
我們必須認識到,我們並沒有 100% 的方法阻止具有訪問權限的惡意員工讀取客戶數據。防止這種情況的最好方法就是限制員工的行為。例如,客戶代表是否需要讀取企業內部的安全數據?答案不同多說了。所以他們的權限只可以確認來電者的身份,然而企業內部的安全設定等,都不能瀏覽。
針對此方面,早前我們介紹過的 ObserveIT 便是其中一類解決方法,此類 SIEM 方案能通過日誌記錄的方式,讓管理員得知所有動作,從而限制個人可以訪問的範圍來控制潛在的危害。
當然,我們都是基於外電報導而得知 AT&T 事件,因此當中真正的外洩情況涉及的是怎麼樣的員工?我們當然不清楚。但 Silva 推測該公司可能已經部署了某種控制,鑒於 1600 條記錄只是該公司整個客戶數據庫中相對較小的部分。然而,這事件也令企業敲響了警鐘,他們需要找到辦法來嚴格控制對大量敏感數據的存取權限。
雖然該公司並沒有透露更多細節,但數據庫管理員具有對海量客戶數據的無限和未經審計的訪問權限並不少見,而且還沒有任何監管;最可怕的一種情況是,攻擊者感染數據庫管理員,並獲取其訪問權限來暗中竊取訊息用於轉售或其他用途。
更好的特權訪問管理還可以帶來更好的問責制,這可以潛在地檢測某種類型的知識產權盜竊。因為對於很多公司,都有幾十個涉及知識產權的內部問題可能沒有被發現:當事情在內部發生時,很多企業會選擇不告訴任何人,除非他們在法律上被要求這樣做。早前有報告便指出,75% 的企業並沒有報道內部盜竊。
同樣地,實行所謂的最小特權規則可以阻止外部攻擊,因為他們通常通過欠缺管理的特權帳戶來滲透網絡。以下便列出幾個方法,以便提升相關問題的防禦能力。
1.列出特權帳戶
如果你不能有效衡量特權帳戶的範圍,你將永遠無法刪除或管理它們。審計員基本上想要知道所有這些特權帳戶在網絡環境中的位置。企業還應該意識到,特權用戶可能包括不同的角色,除了 IT 管理員之外,可能老細亦是特權帳户擁有人。
傳統上,我們會將管理員稱之為特權用戶,但在實際環境之中,重要用戶(例如業務管理員)也可能通過 IT 系統造成嚴重問題。基於這個原因,我們建議企業也應該控制和監控其活動。
2.加入真實身份訊息
內部人員導致的資料外洩事故可能永遠不會被發現,如果企業本身共享超級用戶帳號登錄憑證,並容許多名員工在 IT 和企業其他部門使用的話,那問題出現的時間應該不遠矣。你可能會認為應限制這種訪問類型,但這些帳戶每天都在企業共享,而且企業愈大,要改變這種「習慣」便更變得沒有可能。
基本步驟是,企業應該對所有特權訪問加入問責制,所有特權用戶都應該有自己的身份訊息,這樣出了事,亦可知道是誰人的責任。
3.限制員工對數據的訪問
AT&T 資料外洩事故強調了自動化系統不僅應該監控對敏感系統的訪問權,還應該限制員工去儲存這些數據。
這種情況指出了對行為分析以及反應系統的需求,當違反數據訪問的「正常」行為時,系統應需能鎖定又或者自動向管理員發出通知。
4.監控其他超級用戶
有時候企業可能無法為每個特權帳戶加入用戶身份訊息。在這種情況下,監控將有助於降低風險。
對於很多企業來說,強大的特權密碼管理做法,加上管理員憑證的登入與登出、自動密碼循環、動作行為記錄,就已經足夠了。然而在某些情況下,企業可能需要再制定極仔細的授權政策,在必要時,移除用戶的管理員或根目錄登錄憑證都是沒辦法之中的辦法。
個人見解,有錯請指出。