特权账号安全能力建设桔皮书

声明

本文是学习特权账号安全能力建设桔皮书. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

数据安全形势催生特权账号管理新需求

业务创新、数据上云、数据共享，IT环境变得复杂，人与机器、机器与机器之间交互增多，账号数量随之增多,也扩大了风险暴露面。从近年数据安全事件以及攻防演练来看，特权账号一直是攻击者的首要目标，利用特权账号可以轻易盗取、破坏组织数据。

目前，一方面随着法律法规的陆续发布，账号、资产和权限的要求逐步细化和强化；另一方面随着访问环境变得更复杂更开放，所带来的管理难度呈指数型上升。因此，特权账号带来的数据泄漏风险成为组织的首要关注点，组织需要建立一套行之有效的特权账号安全管理生态系统，以减缓来自内部和外部的威胁。

特权账号安全成为数据泄漏的首要原因

数据访问是由主体访问数据客体的过程，而账号作为主体访问客体的重要凭证在通过安全验证后可以直接访问到数据库、数据仓库、数据湖或其他数据资源。保障账号安全是组织数据安全工作的重要目标之一，但由于系统和应用程序的不断增加，账号安全问题日益突出，特别是账号的滥用，如数据管理团队通常需要高权限的数据访问账号，组织在账号权限分配阶段通常会充分考虑“最小权限原则”，但在长时间的数据管理的工作中，因为“便利性”的需要造成账号的肆意共享、凭证的滥用等问题屡见不鲜，这意味着数据访问可能不是账号所授权的实际员工，因此提高了数据泄漏的风险。

据IBM Security发布的《2021年数据泄漏成本报告》指出，最常见的初始化攻击路径为凭证窃取，所占比例高达20%。报告也揭示了一个日益严重的问题，数据（包括凭证）在数据安全事件中遭到泄漏可能用于传播进一步的攻击，82%的受访者承认在多个账号中重复使用口令，泄漏的凭据既是数据泄漏事件的主要原因，同时也是主要影响，导致组织面临复合风险。