上周,特斯拉CEO伊隆·马斯克在发给全体员工的邮件中表示,特斯拉已经遭到内鬼攻击,公司的生产因此受到广泛而严重的破坏。据悉,这名员工不仅通过虚假用户名登录特斯拉的MOS制造操作系统并修改了其中的代码,而且还将大量高度敏感的数据传输给了未知的第三方。
事件分析
有媒体猜测,该员工的动机可能是没有得到晋升机会,也可能是受到第三方的贿赂。不管其动机是什么,从信息安全角度来讲,这都是一起典型的由内部威胁导致的安全事件:
攻击者是特斯拉的内部员工,虽然不知道他使用的虚假用户名究竟是其自己的已有账户,还是盗用其他同事的账户,抑或是私自创建的新账户,但仅从他能够用这个用户名登录系统修改代码并窃取、泄漏大量敏感数据来看,说明攻击者很可能享有比他本该拥有的权限更高的系统权限,以及特斯拉在重要系统的身份准入方面还不够安全。
这个事件暴露出“人”的因素仍然是企业的信息安全建设的盲点,即便很多公司已将网络安全措施做得看似万无一失,也不能防范内部威胁导致的安全隐患,并且无法发现和阻止未经授权的特权用户访问相关系统。因此,企业急需将员工账户管理,尤其是特权账户管理纳入自身安全体系的建设之中。
窃取特权账户现象十分猖獗
就在特斯拉内鬼攻击事件的前两周,国际知名咨询机构Gartner在其主办的2018年安全与风险管理峰会上,列举了企业最应该投入的十大安全项目,并将“特权账户管理”列为这十大安全项目之首。Gartner明确指出,特权账户管理项目旨在使攻击者难以冒用身份登录企业特权账户,并能使安全团队监视非正常访问行为,企业CISO至少应该让管理员等内部人员使用强制性的多因素身份认证。
Gartner能够在特斯拉发生安全事件两周之前就指出特权账户管理的问题,这看似巧合,但绝非偶然,而是在已有大量事实和研究的基础上提出的中肯建议。毕竟,不管你承不承认,每个企业的信息安全都面临着严峻的内部威胁,而以往筑墙式的防御手段已远远不能满足现在的需求,员工身份已经成为企业信息安全的新边界。
让我们看几组相关研究报告中的数据:
- Crowd Research Partners发布的《2017年企业内部威胁报告》指出,74%的公司认为他们无力抵抗内部威胁。但是大多数CISO却将防范内部威胁的优先级排名很低,只有36%的CISO将防范内部威胁作为重中之重。
- Verizon在其最近发布的一项报告中指出,41%的公司平均至少有1000个敏感文件向所有员工开放。
- 在PonemonInstitute公布的《2018年全球组织内部威胁成本报告》中显示,64%的企业信息泄漏都是由员工和承包商的疏忽导致的,而外部攻击者和内鬼造成的安全事件比例则为23%。综合来看,无论是内鬼、非恶意员工,还是承包商和黑客造成的信息泄漏,超过80%的比例都是利用了特权用户的访问权限。
- 无独有偶,Forrester认为80%的数据泄漏都与特权账户凭证被窃取有关。而Verizon也在前不久发布的《2018数据泄漏调查报告》中同样认为这一比例为81%。
从中可以明显看出,特权账户对企业信息安全的重要性已经不言而喻。这,才是Gartner建议企业最应该关注特权账户管理的根本原因。
杜绝身份冒用是关键
在特斯拉内鬼事件发生后,有媒体及相关人士建议,应该让特权账户遵循最小权限原则。毫无疑问,这的确能一定程度上阻止恶意员工的破坏行为。但是,目前还不清楚这名员工是用自己的账号,还是盗用其他同事的账号,而且这也是单一事件,不具备统计学意义。
我们更应该明白,没有任何一种方法能完全防止员工的账号密码被盗,在盗用特权账户凭证导致的信息泄漏事件比例高达80%的现状下,通过技术手段杜绝特权用户的身份被冒用才是关键举措。因此,Gartner才重点建议企业强制特权用户启用多因素身份认证登录账户。
那么,多因素身份认证究竟有何强大之处呢?以锦佰安科技推出的SecID多因素身份认证系统为例:SecID多因素身份认证系统在我们熟知的静态密码基础上,增加了二次强身份认证环节,在这一环节中有人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等多种身份认证方案,政府和企业用户可根据自身业务特点,按需选择任意一种。由于该二次强身份认证环节无法被绕过,所以即使相关员工的账户密码已被泄漏,攻击者也无法登陆账户。
在亲历或目睹相关的信息安全事件后,目前已有部分企业启用了多因素身份认证来保护员工账户的安全。但是,绝大多数企业仍然对面临的内部威胁后知后觉,他们应该迫切认识到启用多因素身份认证对企业信息安全的重要性。
2055
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
