黑客|企业如何保护“特权访问”的安全？( 二 ) 软件|网络安全

不幸的是，企业很难检测到拥有特权的用户是否滥用了他们的权限。这类罪犯往往可以巧妙地隐藏自己的行为，甚至可能误导组织的内部调查，就像下述Ubiquiti Networks的情况一样。
2020年12月， Ubiquiti Networks的一名员工滥用其管理权限窃取机密数据，并将其用于获取个人利益。攻击者通过VPN服务访问公司的AWS和GitHub服务，并授予他自己高级开发人员的证书。这名员工冒充匿名黑客，告知公司“窃取了他们的源代码和产品信息” ，并要求公司支付近200万美元的赎金，以阻止进一步的数据泄露。

可笑的是，该员工还参与了后续的事件响应工作。为了混淆公司的调查方向，他谎称外部攻击者侵入了公司的AWS资源。
再如， 2022年1月，国际红十字委员会遭受严重网络攻击和大规模数据泄露。在后续调查中表明，恶意行为者通过红十字委员会的服务器的一个漏洞访问了红十字委员会的系统，获取了特权账户，并伪装成管理员获取敏感数据。
结合上述内容，特权访问一般存在如下的安全风险：特权身份冒用、滥用；访问权限管理混乱；缺乏有效的安全审计，无法满足安全监管要求；数据传输泄露和威胁分析能力不足。

02如何保护特权访问的安全？
特权访问在于使用者的特权账户是一个功能强大的账户，具有对系统的所有访问权限。黑客可以执行恶意活动，窃取敏感信息，进行财务欺诈，并且经常很久之后才被发现。
【黑客|企业如何保护“特权访问”的安全？】攻击者入侵系统后，他们通常会使用访问权限来观察系统一段时间，并了解用户的活动。最终，攻击者可以准确了解目标系统。根据攻击者的动机，他们可以使用特权账户执行以下操作：更改系统功能；禁用某些账户的访问权限；提升某些账户的访问权限；窃取敏感数据以进行欺诈、勒索或报复；损坏数据；注入错误代码或恶意软件，等等。
因此，组织应将保护特权访问作为头等安全优先事项。因为攻击者破坏此级别的访问会带来严重的潜在业务影响（且发生的可能性很高）。那么，企业可以从哪些方面入手，保护特权访问的安全呢？

将分散、混乱特权访问现状进行集中统一管控是有效的解决办法，实现特权身份和访问权限进行集中管理，并对访问行为进行全程实时记录，为事后安全审计提供有力证据。
一是，对特权身份集中管理，一方面是主账号集中管理，一方面是从账号集中管理。把具有特权身份自然人抽象定义为主账号，所有可访问业务系统账号密码信息抽象定义为从账号，将所有主账号和从账号统一管理起来是特权访问管理的前提。
其中，主账号管理可采用三权分立原则，即划分为特权身份管理员、特权审计员和系统维护员三类角色权限，特权身份管理员负责主账号的全生命周期管理；特权审计员负责对主账号操作行为、从账号使用情况进行审计分析，并对审计结果进行统计报表等；系统维护员负责对特权身份管理系统的配置、更新和维护等。

三类权限相互牵制，防范特权权限监管真空区。同时结合双因素或多因素认证方式对主账号进行身份鉴别，解决特权身份混用、冒用问题，也为安全事件指证和定则提供可靠依据。并引入身份鉴别防护机制，例如对暴力尝试破解密码行为进行锁定登录，静默会话自动注销，不能使用重复密码，账号密码信息加密存储等等安全机制保护主账号信息。
从账号集中管理，则是把所有业务系统抽象定义为目标设备。将目标设备中的所有从账号进行集中管理形成从账号分布全景图，等同于管理好了访问企业信息资产保险库的“金钥匙” 。例如，通过SSO（单点登录）技术使得主账号用户在不知道从账号密码的条件下也可访问业务系统和数据。另外，也需要周期性扫描IDC机房中存活的业务系统以及发现从帐号信息；定期检查从账号密码状态；周期性对从账号密码进行改密；周期性检测从账号状态，等等。