過去很長(zhǎng)的一段時(shí)間,僅有為數(shù)較少的企業(yè)對(duì)企業(yè)特權(quán)賬戶操作進(jìn)行監(jiān)控、審查,大部分企業(yè)并沒意識(shí)到特權(quán)賬戶對(duì)自身安全所帶來的威脅。隨著數(shù)據(jù)安全事件的日益增多,市場(chǎng)對(duì)于信息安全有了更深一步的認(rèn)識(shí)。據(jù)Gartner報(bào)告預(yù)測(cè),2018年將會(huì)有25%的企業(yè)設(shè)置特權(quán)賬戶安全管理,對(duì)于特權(quán)操作進(jìn)行詳細(xì)審查跟蹤 ,對(duì)此,數(shù)據(jù)泄露事件將會(huì)大幅減少33%左右。
如今,企業(yè)特權(quán)賬戶范圍廣、數(shù)量大且極不穩(wěn)定是現(xiàn)在企業(yè)面臨黑客等攻擊勢(shì)力的最大安全隱患。另外,由于特權(quán)賬戶的存在,一旦其被攻擊者破解,就能完全掌控組織的IT基礎(chǔ)設(shè)施,引發(fā)防護(hù)控制失效、機(jī)密數(shù)據(jù)泄露、商業(yè)詐騙和擾亂企業(yè)正常運(yùn)作的嚴(yán)重后果。據(jù)目前對(duì)重大安全事故的分析調(diào)查,很容易發(fā)現(xiàn),幾乎大部分攻擊事件都是通過利用盜竊、濫用等手段獲取到特權(quán)賬號(hào)憑證而引發(fā)的。對(duì)此,嚴(yán)格控制特權(quán)賬號(hào)使用,主動(dòng)保護(hù),調(diào)查,回溯網(wǎng)絡(luò)攻擊事件,能夠有效避免公司核心系統(tǒng)遭受攻擊,敏感資料泄露等事件的發(fā)生。
特權(quán)賬號(hào)安全管理的難點(diǎn)
每一個(gè)企業(yè)的日常運(yùn)營(yíng)過程中,企業(yè)特權(quán)賬號(hào)和安全憑證(包括密碼、SSH密碼、API密碼、SS L證書)等幾乎是無處不在的。從個(gè)人可識(shí)別客戶信息一直到關(guān)鍵的知識(shí)產(chǎn)權(quán),這些條件不外乎為攻擊者提供了獲取企業(yè)核心資產(chǎn)最直接的捷徑。只要企業(yè)稍加不慎,損失便會(huì)異常慘重。就特權(quán)賬戶安全管理工作而言,如何識(shí)別鎖定并妥善保管安全憑證,監(jiān)控特權(quán)賬戶行為,確保特權(quán)賬戶安全,成為了企業(yè)信息防護(hù)的首要難點(diǎn)。
1. 特權(quán)賬戶的密碼保管。傳統(tǒng)的密碼記錄以文件形式存儲(chǔ)在電腦上,這就是一個(gè)極大的安全隱患。另外,企業(yè)缺乏統(tǒng)一管理的人員,而且多個(gè)系統(tǒng)、設(shè)備等采用相同密碼,安全性低,缺少定期校驗(yàn)機(jī)制,可用性低。還有一系列中間件、應(yīng)用代碼中配置靜態(tài)數(shù)據(jù)庫(kù)密碼,導(dǎo)致數(shù)據(jù)密碼無法管理或者管理分散,不能全面落實(shí)安全基線的要求。
2. 特權(quán)賬戶的權(quán)限管理。部分特權(quán)賬戶沒有推行最小權(quán)限原則,被多人共享,且第三方運(yùn)維人員更換頻繁,賬號(hào)交接不及時(shí),安全性無法保證。
3. 特權(quán)賬戶操作跟蹤記錄不清。特權(quán)賬號(hào)存在共享情況,當(dāng)越權(quán)或?yàn)E權(quán)操作發(fā)生時(shí)無法實(shí)時(shí)報(bào)警和自動(dòng)策略阻斷,對(duì)于安全事件進(jìn)行分析時(shí),也無法定位具體負(fù)責(zé)人。
融入DevOps的安全管理
傳統(tǒng)研發(fā)運(yùn)維的流程中,安全部署往往是所有環(huán)節(jié)都就緒之后統(tǒng)一確認(rèn)的最后一環(huán)。隨著DevOps的落地,研發(fā)節(jié)奏加快,安全部署開始越來越跟不上團(tuán)隊(duì)的步伐。當(dāng)速度和安全產(chǎn)生了沖突,勢(shì)必需要尋求改變。如今的趨勢(shì)則是選擇將安全嵌入到研發(fā)和運(yùn)維體系中,構(gòu)建健全的安全生命周期管理,廣泛應(yīng)用DevOps,將安全真正嵌入企業(yè)IT業(yè)務(wù)中去。相信,未來,安全機(jī)制將會(huì)越來越早的在軟件開發(fā)周期中被引入,同時(shí)兼顧速度和安全!