中关村在线

网络安全

特权账号已成高危目标 学学人家核按钮怎么防

为企业高层设置特权账户似乎天经地义,但却会成为攻击者的首要目标。因为对于他们来说,常规的从收集攻击对象信息、嗅探,到发现攻击漏洞、路径,再到展开攻击,最终获取权限,并非易事。但如果能直接拿到特权账号,无异于获得一张畅通无阻的“通票”,岂不省事。所以特权账号的安全必须万无一失,而在这点上倒是可以学学核按钮的防护手段。

特权账号存两大威胁特质

一提到特权账号,现在的每家公司都会使用,无论是操作系统的root账号,还是数据库的CS账号等等都是特权账号的具体应用。而拥有此类特权账号的人,不仅能控制组织资源、禁用安全系统,还能访问大量敏感数据,可以说,对企业的关键数据资产拥有着绝对控制权。

这就让特权账号展现出两个比较明显的特征:一是它的权限很大,杀伤力大;二是这些账号往往是共享的,潜在威胁高。比如,一家企业的数据库CS账号很可能公司里所有数据库管理员(DBA)都知道。因此如何有效保护特权账号的安全,便成为企业数据安全防护上最为关键的一环。

从核按钮防护上借鉴方法

既然对特权账号的使用避免不了,那么在安全防护上就必须寻求强有力的验证与监管体系才行。而能够与特权账号这种“大杀器”相匹敌的,要算核按钮了。核按钮掌控着一国核武器的发射,就像特权账号管理着企业系统或数据的访问一样。

而核武器的巨大杀伤力众所周知,一旦引爆,爆心半径范围内的一切瞬间灰飞烟灭,周围变成寸草不生的核污染废土,放射性尘埃不断扩散将祸及上亿人口,造成地球生态不可逆的伤害。这番景象就如同一家企业的特权账号遭窃后,核(shang)心(ye)数(ji)据(mi)荡然无存一般。所以对于特权账号的防护也可以从核按钮的防护中借鉴方法。

摸到核按钮需要几个步骤?

实际上,想摸到核按钮并非易事,即便像美国总统特朗普这样的一国首脑,也需要在美国国家军事指挥室主管、五角大楼副部长级的一位成员在场陪同才行。而且即使特朗普下达发射命令,位于五角大楼“战争室”的负责人也会再次致电确认身份。

俄罗斯的核按钮防护同样严密,一般有3个,分别由总统、国防部长和参谋总长掌管。一旦发动核攻击时,发射程序则采取“双首长机制”,即至少需要三人中的两人同时操作才行。同时下达发射命令的两组密码必须组合无误,才能将命令逐级传达出去,最终上核导弹升空。由此可见,想摸到核按钮难上加难,对于企业的特权账号防护来说,也理应如此。

特权账号防护中两个关键

据统计,近年来发生的严重网络攻击事件中,有80%到“几乎全部”的攻击者都在攻击过程的某个环节利用了特权账户。面对这种情况,学习核按钮级别的防护显然至关重要,具体则可从两个方面入手。

首先,便是MFA多因子身份认证。比如常规的FIDO在线快速身份验证,包括无密码的UAF和第二因子的U2F验证。当然也可以利用现在流行的指纹、人脸、虹膜等生物识别认证。另外,即便通过了身份验证,还要去看这个请求的上下文,为什么要请求这个数据,在什么时间点的请求等等。

其次,构建零信任访问控制模型。在这个模型下,企业要定义的是谁在什么地点、什么情况、什么时间段可以访问什么样的敏感数据,这种基于主体跟客体属性的授权方式可以让企业授权达到非常小的力度,从而实现一个零信任的基本原则:即最小授权。

结语

尽管安全人员一直呼吁管理特权账户的重要性,可是许多企业的特权帐号仍未受到有效保护,或不被重视,或管理不善,致使特权账户成为易被攻击的目标。这在核心数据已成企业命脉的当下,打造如核按钮一样高强度的安全体系显然刻不容缓了。

展开全文
人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多
说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具