最近,IT圈又爆出了一个大瓜——新加坡国家计算机系统公司(National Computer Systems,简称NCS)遭遇了“删库跑路”事件,多达180台虚拟服务器被删除。
据媒体披露,实施“删库跑路”的是一名被NCS解雇的QA工程师。NCS没有及时注销他的特权账号,他在被解雇后仍旧可以访问NCS的测试系统。为了报复NCS,这名工程师多次利用特权账号远程访问NCS的网络,并在系统中部署了服务器删除脚本。2023年3月18日和19日,他激活了删除脚本并开始逐个删除服务器。3月20日,NCS 的QA团队无法登录服务器,这才发现多达180台测试服务器被删除。
事件发生后,NCS很快锁定了目标,这名工程师因此获刑两年零八个月。
NCS的事件告一段落,但“删库跑路”再次引爆了企业的担忧。近年来,员工利用特权账号“删库跑路”的事件频频发生:国内某微信营销服务商被运维人员利用特权账号“删库”,导致市值蒸发超10亿;医疗厂商Stradis Healthcare的一名副总裁在被解雇后,使用自己创建的秘密账户访问公司运输系统并删除关键数据,导致商品交付延误;百货公司Century 21的一名管理员在被解雇前创建了超级用户账户,借此删除数据、更改用户访问权限,并修改公司的工资政策……
特权账号管不好,“删库跑路”防不住
“删库跑路”事件的频频发生,反映出企业在特权账号管理上普遍存在“散、乱、慢”三大问题:
1.散:特权账号分散,难以统一管理
在企业数据中心中,特权账号的数量往往是设备数量的十倍以上。这些账号分布在不同的设备和应用中,类型复杂,状态不一,仅凭人工管理无法掌握其全貌。
2.乱:账号状态混乱,安全情况不明
由于无法掌握特权账号的全貌,企业难以对账号风险情况进行评估,实施针对性的治理和防护。这导致了企业难以实施统一的密码策略,未改密账号、弱密码账号等风险账号长期存在,为黑客提供了突破口。
同时,企业内部普遍存在多个管理员使用同一个特权账号的情况,企业难以将每一次特权访问落实到人,无法实现精细、有效的特权账号管控。
3.慢:账号注销缓慢,追踪溯源困难
由于缺乏有效的管理工具,企业无法一站式实现特权账号的开通、调整权限、注销,只能通过人工逐个调整,不但时效性差,给了攻击者可趁之机,还容易造成幽灵账号、僵尸账号等安全隐患。
企业还难以对特权账号的访问权限进行精准的、动态的管理,无法实现对特权访问的全面监控和审计。这导致很多恶意行为可能长期存在且不被发现。一旦发生安全事件,管理员无法迅速追溯风险行为,取证定责难。
当“删库跑路”从程序员们的玩笑话,变成了企业必须认真面对的大威胁,如何提升对特权账号的管理能力,已经成为了企业必须妥善解决的问题。
下周同大家分享特权账号管理产品