一、数字安全的边界不断延伸,风险暴露面随之扩大
数字化加速渗透到各行业领域,数字安全的边界不断延伸。在打破数据孤岛的过程中,企业服务器、数据库、业务系统越来越多,随之而来的是更加复杂的企业数据环境及账号体系,访问需求的复杂性极大扩大了内部资源的暴露面。
庞大的账号体系之下,特权账号无处不在,除了内部账号被窃取的风险,同样存在大量第三方接入的风险,企业内部员工及特权账号泄露,成为当下一个相当突出的安全问题,尤其在网络攻防演练中,特权账号已经成为攻击者入侵的首要目标。
二、特权账号成为企业数据及业务安全的“重灾区”
特权账号(Privileged Account)也就是具有特殊权限的账号,通常拥有对系统、网络或数据的高级访问权限。特权账号存在权限大、分布散、数量多等特点,分布在业务系统、应用程序、数据库、网络设备等各类应用系统中,一个系统可能会创建多个特权账号,一旦被攻陷将对企业造成严重的安全威胁,导致敏感数据资源泄露、业务中断等后果。
对黑灰产团伙而言,与其穿透层层防护窃取数据,不如窃取账号,通过内网横向移动,利用特权账号的管控手段缺失攻破授权账号,最终利用特权账号权限对系统进行恶意破坏。
因账号权限管控不当或失窃导致的风险事件正在逐年上涨,IBM X-Force最新发布的《2024年威胁情报指数报告》中表示,攻击者使用被盗凭据访问有效账户的情况比去年增加了71%,占X-Force在2023年应对的所有风险事件的30%,与网络钓鱼并列成为头号感染媒介。
从近年数据安全事件以及攻防演练来看,通过滥用特权账号入侵目标网络系统,已经成为攻方的首选攻击手段。据威胁猎人账号泄露情报监测数据显示:2024年3月份和4月份,监测到企业员工或用户账号交易数据量累计达7.3亿条,涉及775家企业。
1、泄露特权账号的所属行业分布
注:消费电子以手机、电脑、电视等智能电子设备为主
网络服务商包括通讯服务商、云计算基础设施服务商等
2、泄露特权账号的企业外部软件类型分布
3、泄露特权账号的企业内部系统类型分布
三、特权账号的有效管理:内部账号管控+外部风险监测识别
目前,针对特权账号的系统化管理存在IAM、PAM、零信任等多种方案,主要通过对用户身份进行验证、授权和管理,确保只有合法用户可以访问特权账号及相应的系统权限。
尽管很多企业已经通过部署IAM、零信任等方案实现了内部管控,但仍避免不了员工电脑设备被攻击者入侵导致的特权账号被盗,最终引发内部系统攻破、业务核心数据窃取等风险。
一方面,企业无法保证所有的业务系统都部署了安全防护方案;另一方面,即便在部署了安全防护方案的情况下,企业内部设备一旦被入侵,设备自身存储的敏感数据也存在极大的泄露风险,若攻击者进一步获取了内部设备的账号密码,则可以此为“跳板”渗透企业内部系统并展开大规模攻击。
面对多方面的账号泄露风险,如何通过账号风险的多重识别,快速获悉已经失窃的账号并进行针对性治理防护,避免连锁风险,成为企业数字化过程中需要直面的问题。
威胁猎人对监测到的交易信息分析调研发现,被交易的账号密码大部分是黑客利用**“木马、蠕虫病毒”**等入侵个人终端主机。
威胁猎人基于多年对暗网、匿名群聊等黑产数据交易渠道布控,对黑灰产交易行为进行实时、全面的监测,针对监测到的员工账号、用户账号等数据,进行数据智能清洗及账号成分分析,帮助企业在失控前及时从外部视角感知特权账号泄露风险,对相关账号进行风险止损和针对治理。
目前,威胁猎人情报监测平台平均每天可监测到已泄露的企业员工或用户账号交易数据量一千多万条,涉及电商、消费电子、游戏、网络服务、社交媒体等多个行业的企业邮箱系统、统一身份验证系统及各类重要业务系统。
2024年4月初,威胁猎人帮助多个企业客户捕获特权账号泄露风险情报,数据涉及数百个用户及员工账号,安全运营人员第一时间对数据进行智能清洗,账号成分分析,并将相关数据报告及时同步给客户,助力企业进行账号针对治理,及时阻断了因特权账号泄露引发的系列风险。
4月19日,威胁猎人监测到某黑产在暗网上发布了企业特权账号的交易信息,黑产发布数据的交易截图如下:
从交易数据来看,涉及92家大型企业的37799个特权账号及密码,大部分是来自互联网金融、电商、社交、支付、快递、航空等行业的知名大型企业,其特权账号泄露所带来的系列风险及后果难以估量。
数字化经济下,只有保护好企业的核心数据资产,才能更好地以数据安全为企业数字化注入新动能。特权账号是企业数据及业务安全的重要防线,基于威胁猎人【特权账号泄露情报监测服务】,将内部账号管控与外部风险监测相结合,有效收敛风险暴露面,构建多重防护的账号风险管理体系。
