任何事情總是事後說起來容易,但今天似乎已經很清楚,最近,高調的網絡攻擊背後的罪犯,不一定是電腦天才,隻是獲得良好機會的人們。他們能夠利用人性的弱點,然後濫用他們找到的一個敞開的門。這裡,讓我來解釋一下。
這些黑客使用諸如具有高度針對性的魚叉式網絡釣魚(Spear Phishing)電子郵件,引誘不知情的用戶打開一個惡意的附件,然後把惡意軟件部署到用戶的計算機中。攻擊者可以從一個機構內的單臺計算機開始,然後利用弱的、共享的特權帳戶的受害者,控制整個網絡系統,搜遍其基礎設施和提取敏感的信息。這種方法很簡單,但非常有效。
潛在的、脆弱的特權帳戶在IT基礎設施上—主機電腦操作系統,網絡設備和備份系統,以及在業務軟件中,是隨處可見的。特權帳戶可分為三個主要群體:
1、超級用戶登錄個人賬戶,用於配置、運行和安裝應用程序,更改系統設置;處理日常行政工作;以及執行應急消防呼叫維護。
2、服務帳戶,需要特權的登錄ID和密碼來運行。
3、應用到應用的密碼,被網站、在線業務應用、定制軟件連接到數據庫時使用的。
控制訪問特權帳戶的密碼,是最終黑客和機構的私人數據之間的主要障礙。然而,很多時候,這些密碼沒有得到充分的保護、監督和審查。
安全性:為什麼特權帳戶處於危險之中
因為特權帳戶,甚至沒有通過身份訪問管理(Identity Access Management簡稱IAM)系統確認,大多數機構都沒有用自動化的方式來管理這些強勢的帳戶。今天由政府和行業團體制定的IT安全法規要求機構經常更新特權帳戶的證書,並審核其使用授權。但是用腳本或手工更新這些帳戶,常常被證明是太耗時和容易出錯的。對於更復雜的過程,手動更改可能會導致服務中斷,如果人員不清楚不同的特權帳戶之間的相互依存關系的時候。因此,許多機構根本忽視瞭這個問題。
不幸的是,由弱的特權帳戶引入的安全風險,在您的數據中心並沒有停止。您的機構可能使用的越來越多的共享服務,包括雲服務、證書頒發機構和金融服務網關,特權帳戶的安全管理薄弱或不存在管理的問題已經暴露無遺。對於一個黑客來說,由共享的服務提供商員工使用的一個弱加密特權登錄,是具有令人難以置信的吸引力的目標,尤其是因為在這些環境中的一個單一的妥協登錄,就可以打開企業客戶的私人數據。
保護鑰匙的安全
雖然保護您的特權帳戶的安全,可能看起來像一個棘手的問題,你可以從控制開始,隻需采取三個簡單的步驟。
第1步,找到鑰匙。您需要執行一個對您的整個網絡從頂端到底層的審查,以確定所有特權帳戶究竟在何處駐留。這應該包括編目,看看登錄密碼是否足夠獨特和復雜,它們是否經常改變,以保證安全。
在這一點上,一些讀者可能會感到絕望,因為在一個典型的數據中心有成千上萬的潛在的特權登錄編目,這是一項不容易的任務。不要害怕,有些公司可以向審核合格的機構提供特權帳戶的審計,通常是不收取費用的。
第2步,鎖門。你應該部署自動地關閉任何已發現的安全漏洞的功能。有成本效益的解決方案,不僅可以保證非常大的網絡上的這些帳戶的安全,而且這樣做隻需幾個小時或幾天,而不是幾個月的時間。
第3步,固定窗口。如果您的網絡關鍵的外部組成部分是脆弱的,您也不能保證安全。要求您的關鍵業務合作夥伴,包括雲服務提供商、證書頒發機構和其他機構,證明他們是在遵守有意義的、如共識審計準則(Consensus Audit Guidelines)這樣的規定。我認為,如果他們提供像SAS70等類似的自我認證,那說明他們沒有采取認真的態度,最終將會暴露您的私人信息。
黑客已經表明,它們能穿透任何企業的網絡。在過去的幾個月中,入侵者似乎更占上風,因為泄露這個詞已經攻擊類似遭受損害的DigiNotar的四個證書頒發機構。
許多機構似乎認識到情況的嚴重性,產生瞭一些恐慌和混亂的回應,因為他們趕緊鎖好門,而慌亂中,卻把鑰匙留在鎖上。你的數據中心依賴於特權身份的功能,這是不會改變的。但是,如果不能保護這些帳戶,那麼將會暴露您的私人數據。我們已經解釋過風險瞭,但最終的決定取決於您自己。
Orignal From: 互聯網安全須知:可怕的黑客新趨勢
留言列表
