最近，IT 圈又爆出了一个大瓜——新加坡国家计算机系统公司（National Computer Systems，简称 NCS）遭遇了“删库跑路”事件，多达 180 台虚拟服务器被删除。

据媒体披露，实施“删库跑路”的是一名被 NCS 解雇的 QA 工程师。NCS 没有及时注销他的特权账号，他在被解雇后仍旧可以访问 NCS 的测试系统。为了报复 NCS，这名工程师多次利用特权账号远程访问 NCS 的网络，并在系统中部署了服务器删除脚本。2023 年 3 月 18 日和 19 日，他激活了删除脚本并开始逐个删除服务器。3 月 20 日，NCS 的 QA 团队无法登录服务器，这才发现多达 180 台测试服务器被删除。

事件发生后，NCS 很快锁定了目标，这名工程师因此获刑两年零八个月。

NCS 的事件告一段落，但“删库跑路”再次引爆了企业的担忧。近年来，员工利用特权账号“删库跑路”的事件频频发生：国内某微信营销服务商被运维人员利用特权账号“删库”，导致市值蒸发超 10 亿；医疗厂商 Stradis Healthcare 的一名副总裁在被解雇后，使用自己创建的秘密账户访问公司运输系统并删除关键数据，导致商品交付延误；百货公司 Century 21 的一名管理员在被解雇前创建了超级用户账户，借此删除数据、更改用户访问权限，并修改公司的工资政策……

特权账号管不好，“删库跑路”防不住

“删库跑路”事件的频频发生，反映出企业在特权账号管理上普遍存在“散、乱、慢”三大问题：

1.散：特权账号分散，难以统一管理

在企业数据中心中，特权账号的数量往往是设备数量的十倍以上。这些账号分布在不同的设备和应用中，类型复杂，状态不一，仅凭人工管理无法掌握其全貌。

2.乱：账号状态混乱，安全情况不明

由于无法掌握特权账号的全貌，企业难以对账号风险情况进行评估，实施针对性的治理和防护。这导致了企业难以实施统一的密码策略，未改密账号、弱密码账号等风险账号长期存在，为黑客提供了突破口。

同时，企业内部普遍存在多个管理员使用同一个特权账号的情况，企业难以将每一次特权访问落实到人，无法实现精细、有效的特权账号管控。

3.慢：账号注销缓慢，追踪溯源困难

由于缺乏有效的管理工具，企业无法一站式实现特权账号的开通、调整权限、注销，只能通过人工逐个调整，不但时效性差，给了攻击者可趁之机，还容易造成幽灵账号、僵尸账号等安全隐患。

企业还难以对特权账号的访问权限进行精准的、动态的管理，无法实现对特权访问的全面监控和审计。这导致很多恶意行为可能长期存在且不被发现。一旦发生安全事件，管理员无法迅速追溯风险行为，取证定责难。

当“删库跑路”从程序员们的玩笑话，变成了企业必须认真面对的大威胁，如何提升对特权账号的管理能力，已经成为了企业必须妥善解决的问题。

下周同大家分享特权账号管理方法