特权账号安全前 言
Gartner 发布的《Guidance for Privileged Access Management》中, 术语“特权账号”是数据中心内部,分布在主机、网络设备、数据库等资产 上具有较高访问权限的账号,衍生到一切资产上具有可访问权限的账号。 在组织运营过程中,这些特权账号通常由 IT 运维人员管理,各角色人员开 展系统管理、业务运营、系统运维等系统维护、权限变更、数据删除、下载 导出等高级权限操作。特权账号是直接接触组织关键 IT 资产和数据资源的 入口,一旦特权账号被盗用、误用、滥用,将为组织信息系统带来严重破坏 性的后果。
近两年数据泄漏事件频频发生,究其根源,泄漏的凭据是导致数据泄 漏事件的主要原因。在网络安全日趋成熟的情况下,与其穿透层层防护窃 取数据本身(数据库),不如窃取账号,通过内网横向移动,利用特权账号 的管控手段缺失,最终攻破特权账号,再利用特权账号权限对系统进行恶 意破坏,如执行删库、删表等高危操作,达到破坏或窃取敏感数据的目的。
特权账号的管理作为数据资产防护极为关键的环节,已经在 2018 年、 2019 年连续两年被 Gartner 评为十大安全项目之首。但目前国内对特权账 号安全的认识仍处于早期,本报告将围绕国内特权账号安全管理的现状, 总结分析特权账号管理过程中的风险和困境,提出基于特权账号生命周期 的管理原则和方法,降低因特权账号和口令管理不善等带来的数据泄漏风 险。
数据安全形势催生特权账号管理新需求
业务创新、数据上云、数据共享,IT 环境变得复杂,人与机器、机器 与机器之间交互增多,账号数量随之增多,也扩大了风险暴露面。从近年数 据安全事件以及攻防演练来看,特权账号一直是攻击者的首要目标,利用 特权账号可以轻易盗取、破坏组织数据。
目前,一方面随着法律法规的陆续发布,账号、资产和权限的要求逐步 细化和强化;另一方面随着访问环境变得更复杂更开放,所带来的管理难 度呈指数型上升。因此,特权账号带来的数据泄漏风险成为组织的首要关 注点,组织需要建立一套行之有效的特权账号安全管理生态系统,以减缓 来自内部和外部的威胁。
(一)特权账号安全成为数据泄漏的首要原因
数据访问是由主体访问数据客体的过程,而账号作为主体访问客体的 重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或 其他数据资源。保障账号安全是组织数据安全工作的重要目标之一,但由 于系统和应用程序的不断增加,账号安全问题日益突出,特别是账号的滥 用,如数据管理团队通常需要高权限的数据访问账号,组织在账号权限分 配阶段通常会充分考虑“最小权限原则”,但在长时间的数据管理的工作 中,因为“便利性”的需要造成账号的肆意共享、凭证的滥用等问题屡见不 鲜,这意味着数据访问可能不是账号所授权的实际员工,因此提高了数据 泄漏的风险。
据 IBM Security 发布的《2021 年数据泄漏成本报告》指出,最常见的 初始化攻击路径为凭证窃取,所占比例高达 20%。报告也揭示了一个日益严 重的问题,数据(包括凭证)在数据安全事件中遭到泄漏可能用于传播进 一步的攻击,82%的受访者承认在多个账号中重复使用口令,泄漏的凭据既 是数据泄漏事件的主要原因,同时也是主要影响,导致组织面临复合风险。
来源:IBM Security《Cost of a Data Breach Report 2021》
(二)针对特权账号的攻击成本低破坏性强
在组织的 IT 架构中,基础设施、数据、应用等资源一般位于组织数据 中心内网,仅向互联网开放有限端口或完全不开放,并在网络边界建立相 应的安全防护机制,以达到抵御大部分的威胁目的。随着数据作为新型的 生产要素,攻击者的目标变为了窃取数据,特权账号作为访问数据资源、 配置策略、接触数据最直接的入口,在网络安全日趋成熟的组织 IT 架构中, 与其穿透层层内网防护设施窃取数据本身(数据库、文件服务器等),不如 利用特权账号管控手段的缺失,盗取高权限账号,攻击成本非常低且有效; 利用特权账号在目标系统中不受限地进行各种操作,从而达到数据窃取、 破坏等目的,轻则造成系统配置异常,短时间内影响业务系统的连续性, 重则删除或盗取组织重要数据、核心数据,造成严重的经济损失甚至危害 国家安全。
(三)攻防演练中特权账号已成最大弱点
从近年的攻防演练中分析发现,因涉及到攻击者的最终利益,特权账 号往往是攻击者瞄准的重点攻击目标。攻击者窃取特权账号后进行内网横 向移动,最终达到获取组织管理权限或破坏/窃取组织数据的目的。针对账 号攻击链条进行分析,一般步骤如下:1.账号攻击的第一步通常是窃取账号 口令,通过钓鱼攻击或利用弱口令、口令明文存储等漏洞,入侵组织内网环 境;2.突破内网之后的横向移动,横向移动最主要的手段就是未知账号的扫 描和爆破,实战中通过弱口令获得权限的情况占比高达 70%以上,包括生 产系统、信息系统、如 Unix/Linux、windows 等底层操作系统、SQL Server、 MySQL、Oracle 等数据库。虽然有些系统口令复杂度较高,但它们通常有 口令相同或规律口令等问题,此类口令也极易被猜解;此外哈希传递攻击、 进程间通信计划任务、票据传递攻击等都可以实现突破内网之后的横向移 动,甚至可以不需要知道明文口令的情况下,利用执行木马、哈希攻击、票 据欺骗等多种手段,获得目标(通常是域控)服务器的管理权限。**3.**获取权 限后进行违规查询、破坏、窃取数据。可通过数据库特权账号执行删库、 删表等高危操作进行破坏数据,或通过特权账号口令窃取敏感数据;攻击 者还可通过特权账号破坏业务系统、运行勒索软件等,造成组织数据安全 事件等严重后果。
参考资料
2021年中国软件供应链安全分析报告
GB/T 24363-2009 信息安全技术 信息安全应急响应计划规范
GB/T 25058-2010 信息安全技术 信息系统安全等级保护实施指南
查看全文
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dgrt.cn/a/36702.html
如若内容造成侵权/违法违规/事实不符,请联系一条长河网进行投诉反馈,一经查实,立即删除!
相关文章:
qax特权账号安全能力建设学习咨询
特权账号安全前 言
Gartner 发布的《Guidance for Privileged Access Management》中, 术语“特权账号”是数据中心内部,分布在主机、网络设备、数据库等资产 上具有较高访问权限的账号,衍生到一切资产上具有可访问权限的账号。 在组织运营过……
ARM架构种类
内核与架构经常有一些朋友分不清,我们常说的ARMV1~ARMV9都是表示不同版本的架构,不同的架构,指令集也存在差异,然而根据不同的架构又开发出了不同CPU内核,比如Cortex-A,Cortex-M等。
目前主要是三种CPU架构……
[ vulhub漏洞复现篇 ] ECShop 2.x / 3.x SQL注入/远程执行代码漏洞 xianzhi-2017-02-82239600
🍬 博主介绍 👨🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~ ✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】 🎉点赞➕评论➕收藏 养成习……
秋招面试题系列- – -Java工程师(九)
前言:七月末八月初的时候,秋招正式打响,公司会放出大量的全职和实习岗位。为了帮助秋招的小伙伴们,学长这里整理了一系列的秋招面试题给大家,所以小伙伴们不用太过焦虑,相信你们一定能超常发挥,……
【CSS布局】盒子模型
目录1.盒子模型的介绍2.内容区域的宽度和高度3.边框border)4.盒子实际大小初级计算公式5.案例)新浪导航案例6.内边距padding)7.盒子实际大小终极计算公式6.案例)新浪导航的优化7.自动内减8.外边距margin)9.清除默认内外边距10.案例)网页新闻列表案例11.外边距折叠现象11.……
深度学习图像分割U-Net和FCN讲解
FCN
相比于普通分类网络而言:FCN把后面几个全连接都换成卷积,这样就可以获得一张2维的feature map,后接softmax获得每个像素点的分类信息,从而解决了像素级分割问题。
毕设项目演示地址: 链接
毕业项目设计代做项目方向涵盖&am……
动规23)-并查集基础题——家谱
【问题描述】 现代的人对于本家族血统越来越感兴趣,现在给出充足的父子关系,请你编写程序找到某个人的最早的祖先。
【输入格式】gen.in 输入文件由多行组成,首先是一系列有关父子关系的描述,其中每一组父子关系由二行组成&#……
NodeJS 环境准备
NodeJs 环境准备
安装 nvm
nvm 即 node version manager),好处是方便切换 node.js 版本
安装注意事项
要卸载掉现有的 nodejs提示选择 nvm 和 nodejs 目录时,一定要避免目录中出现空格选用【以管理员身份运行】cmd 程序来执行 nvm 命令首次运行前设……
java基于ssm的读书背诵兴趣任务管理系统 vue+element
随着互联网技术的发展,计算机技术广泛应用在人们的生活中,逐渐成为日常工作、生活不可或缺的工具。目前,各种在线学习平台层出不穷。建设路小学读背兴趣任务繁重,如何快速的学习提高小学生的读背兴趣任务,是老师非常关注的问题。为小学读背兴趣任务开发必要的程序,能够有效的提……
包装类详解(装箱(包)、拆箱(包)、Integer类型缓存)
在Java中,由于基本类型不是继承自Object,为了在泛型代码中可以支持基本类型,Java给每个基本类型都对应了一个包装类型。文章目录 一、基本数据类型和对应的包装类二、装箱和拆箱三、Integer类型把[-128~127]的数据缓存了,这个范围……
学会这些终端快捷键,让你在Linux上的操作快100倍
🪶 简述 Linux命令行的许多快捷键与GNU/Emacs编辑器非常像,因此我十分建议可以学习学习emacs编辑器,来了解或发现更多的命令行快捷键。 点此访问emacs官网 点此访问emacs中国(论坛) 简述一下Emacs:Emacs’一切皆快捷键……
手把手教你Temporal Fusion Transformer——Pytorch实战
建立了一个关于能源需求预测的端到端项目: 如何为 TFT 格式准备我们的数据。 如何构建、训练和评估 TFT 模型。 如何获取对验证数据和样本外预测的预测。 如何使用built-in model的可解释注意力机制计算特征重要性、季节性模式和极端事件鲁棒性。
什么是Temporal F……
【Java开发】设计模式 12:解释器模式
1 解释器模式介绍
解释器模式是一种行为型设计模式,它提供了一种方法来解释语言、表达式或符号。
在该模式中,定义了一个表达式接口,并实现了对应的表达式类,这些类可以解释不同的符号组成的表达式,从而实现对语言的……
反序列化渗透与攻防五)之shiro反序列化漏洞
Shiro反序列化漏洞
Shiro介绍
Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性
Apache Shiro 1.2.4及以前版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默……
vue2+vue3
vue2vue3尚硅谷vue2vue2 课程简介【02:24】vue2 Vue简介【17:59】vue2 Vue官网使用指南【14:07】vue2 搭建Vue开发环境【13:54】vue2 Hello小案例【22:25】了解: 不常用常用:id 更常用 简单class差值总结vue 实例vue 模板 : 先 取 ࿰……
【hello Linux】环境变量
目录 1. 环境变量的概念 2. 常见的环境变量 3. 查看环境变量 4. 和环境变量相关的命令 5. 环境变量的组织方式 6. 通过代码获取环境变量 7. 通过系统调用获取环境变量 Linux🌷 在开始今天的内容之前,先来看一幅图片吧! 不知道你们是否和我一……
【Linux基础】常用命令整理
ls命令
-a选项,可以展示隐藏的文件和文件夹-l选项,以列表形式展示内容-h,需要和-l搭配使用,可以展示文件的大小单位ls -lah等同于la -a -l -h
cd命令(change directory)
语法:cd [Linux路径]……
客快物流大数据项目(一百一十二):初识Spring Cloud
文章目录
初识Spring Cloud
一、Spring Cloud简介
二、SpringCloud 基础架构图…
C和C++中的struct有什么区别
区别一: C语言中: Struct是用户自定义数据类型(UDT)。 C语言中: Struct是抽象数据类型(ADT),支持成员函数的定义。
区别二:
C中的struct是没有权限设置的,……
docker的数据卷详解
数据卷 数据卷是宿主机中的一个目录或文件,当容器目录和数据卷目录绑定后,对方修改会立即同步
一个数据卷可以同时被多个容器同时挂载,一个容器也可以被挂载多个数据卷
数据卷作用:容器数据持久化 /外部机器和容器间接通信 /容器……
编程日记2023/4/16 14:50:50