黑客|企业如何保护“特权访问”的安全？软件|网络安全

文章图片

文章图片

文章图片

文章图片

文章图片

什么是特权访问？
特权访问是指用户的访问级别，需要更多权限，并且比普通用户具有更多更高的访问级别。这是一种分层模型，定义了用户在有组织的环境中活动范围。
与之对应的是特权账户。它是具有较高访问权限的账户，允许该账户所有者访问系统中最受限制的区域并执行高特权任务。但特权账户也需要密码才能访问系统和执行任务。

例如，与具有较低访问级别的普通用户相比，某些操作系统的Root 用户（根用户）或者超级管理员具有特权访问权限。超级管理员不仅可以不受限制地访问系统目录，还可以添加和删除用户，或者修改系统文件等。
特权账户可以由人或系统使用。 IT专业人员通常使用特权账户（例如管理账户）来管理软件，硬件和数据库。非人工特权账户的示例是具有运行自动任务的特殊权限的系统账户。特权账户用户可以执行诸如安装软件，访问限制区域，重设密码以及进行其他系统更改等任务。

01特权访问的风险
特权访问控制了大部分企业财产的 IT 管理员以及可访问业务关键型资产的其他用户。
因此，攻击者经常在人为勒索软件攻击和有针对性的数据盗窃中利用特权访问安全方面的弱点，因为这样可以让他们能够快速获得对企业业务资产的广泛访问，而这通常会迅速产生严重的业务影响。
大多数数据泄露事件都证明，特权账户密码是通过社会工程技术或其他手段泄露，从而获得系统中最有价值的功能和数据的访问权限。有时，拥有较低级别权限的用户账户在接管账户后会升级，以获取特权访问。当使用合法账户访问系统时，入侵通常会在数周内被忽略，从而使黑客能够在采取行动之前获取必要的信息。

因为特权账户如管理员和服务账号经常被共享、跨系统使用，并且可能会使用弱密码或默认密码，同时由于共享，密码也不会经常更改，使得它们容易被盗，在整个组织中被广泛使用以及高度提升的访问权限，让它们成为黑客攻击的重点目标。据了解，超过20％的公司没有更改众所周知的默认密码，例如“admin”和“12345” 。而且，使问题复杂化的是，有些账户所有者对多个不同的账户使用相同的密码。
劫持特权账户使攻击者能够访问和下载组织中最敏感的数据，分发恶意软件，绕过现有的安全控制并清除审计跟踪以隐藏其活动。据行业分析师预测，高达80%的安全漏洞涉及特权账户密码的泄露，并且大多数泄露的系统在200天内未被发现。
例如，此前的爱德华·斯诺登“泄密门”、雅虎和OPM（人事管理办公室）的数据泄露、SWIFT银行攻击以及Uber数据泄露事件。他们的一个共同点在于，攻击者都是利用通常授予内部人员的强大访问权限来启动和执行攻击活动的。

有时，部分内部员工也会滥用授予他们的特权。组织中存在许多具有特权的用户，如超级管理员、技术专家、管理者，他们可以完全访问网络中的多个系统，甚至可以在不引起任何人注意的情况下创建新的特权账户。