特权账号管不好,“删库跑路”防不住
最近,IT 圈又爆出了一个大瓜——新加坡国家计算机系统公司(National Computer Systems,简称 NCS)遭遇了“删库跑路”事件,多达 180 台虚拟服务器被删除。
据媒体披露,实施“删库跑路”的是一名被 NCS 解雇的 QA 工程师。NCS 没有及时注销他的特权账号,他在被解雇后仍旧可以访问 NCS 的测试系统。为了报复 NCS,这名工程师多次利用特权账号远程访问 NCS 的网络,并在系统中部署了服务器删除脚本。2023 年 3 月 18 日和 19 日,他激活了删除脚本并开始逐个删除服务器。3 月 20 日,NCS 的 QA 团队无法登录服务器,这才发现多达 180 台测试服务器被删除。
事件发生后,NCS 很快锁定了目标,这名工程师因此获刑两年零八个月。
NCS 的事件告一段落,但“删库跑路”再次引爆了企业的担忧。近年来,员工利用特权账号“删库跑路”的事件频频发生:国内某微信营销服务商被运维人员利用特权账号“删库”,导致市值蒸发超 10 亿;医疗厂商 Stradis Healthcare 的一名副总裁在被解雇后,使用自己创建的秘密账户访问公司运输系统并删除关键数据,导致商品交付延误;百货公司 Century 21 的一名管理员在被解雇前创建了超级用户账户,借此删除数据、更改用户访问权限,并修改公司的工资政策……
特权账号管不好,“删库跑路”防不住
“删库跑路”事件的频频发生,反映出企业在特权账号管理上普遍存在“散、乱、慢”三大问题:
1.散:特权账号分散,难以统一管理
在企业数据中心中,特权账号的数量往往是设备数量的十倍以上。这些账号分布在不同的设备和应用中,类型复杂,状态不一,仅凭人工管理无法掌握其全貌。
2.乱:账号状态混乱,安全情况不明
由于无法掌握特权账号的全貌,企业难以对账号风险情况进行评估,实施针对性的治理和防护。这导致了企业难以实施统一的密码策略,未改密账号、弱密码账号等风险账号长期存在,为黑客提供了突破口。
同时,企业内部普遍存在多个管理员使用同一个特权账号的情况,企业难以将每一次特权访问落实到人,无法实现精细、有效的特权账号管控。
3.慢:账号注销缓慢,追踪溯源困难
由于缺乏有效的管理工具,企业无法一站式实现特权账号的开通、调整权限、注销,只能通过人工逐个调整,不但时效性差,给了攻击者可趁之机,还容易造成幽灵账号、僵尸账号等安全隐患。
企业还难以对特权账号的访问权限进行精准的、动态的管理,无法实现对特权访问的全面监控和审计。这导致很多恶意行为可能长期存在且不被发现。一旦发生安全事件,管理员无法迅速追溯风险行为,取证定责难。
当“删库跑路”从程序员们的玩笑话,变成了企业必须认真面对的大威胁,如何提升对特权账号的管理能力,已经成为了企业必须妥善解决的问题。
下周同大家分享特权账号管理方法
版权声明: 本文为 InfoQ 作者【芯盾时代】的原创文章。
原文链接:【http://xie.infoq.cn/article/b1af046b02a428fc700fc20fb】。文章转载请联系作者。
评论