企業(yè)安全的“暗網(wǎng)”:機器工人
責(zé)編:gltian |2021-01-22 13:17:09當(dāng)網(wǎng)絡(luò)安全人士誤入一家大型企業(yè)IT系統(tǒng)濕暗的后廚時,往往會感慨“別有洞天”。正如上周末登上娛樂頭條的大連車務(wù)段,在運輸生產(chǎn)電腦用盜版系統(tǒng)安裝舊版本Flash。這其實是一種常見的“業(yè)務(wù)連續(xù)性壓倒一切”的俄羅斯輪盤賭,如果每屆管理者扣動扳機后贊揚其安全性,我們就認(rèn)為它是安全的,來自安全部門的任何嘗試緩解的建議都會是危險、愚蠢且徒勞的。這些比“刪庫跑路”和APT洋殺手還要兇猛十倍的“高級持續(xù)性威脅”,其實不是別人,正是我們自己制造的根深蒂固的企業(yè)“暗網(wǎng)”,如今最危險的“暗網(wǎng)漏洞”已經(jīng)潛伏到每個企業(yè)的數(shù)字資產(chǎn)中,例如:機器工人。
自動化時代,當(dāng)我們討論與人的錯誤有關(guān)的網(wǎng)絡(luò)安全時,我們討論的可能只是網(wǎng)絡(luò)安全的冰山一角。
隨著企業(yè)向數(shù)字化、自動化、智能化的轉(zhuǎn)型,非人類工人的數(shù)量正在快速增長。因為越來越多的全球企業(yè)在數(shù)字化轉(zhuǎn)型計劃,優(yōu)先考慮云計算、DevOps、IoT設(shè)備和人工智能,這些技術(shù)需要大量非人類工人(我們姑且稱之為機器工人,作為知識工人的對照)參與運營。
然而,組織通常僅將訪問控制應(yīng)用于人類(員工、承包商等),而對與非人類工人相關(guān)聯(lián)的數(shù)據(jù)泄露、特權(quán)賬戶訪問和網(wǎng)絡(luò)攻擊風(fēng)險視而不見。
此外,當(dāng)人類員工離職時,通常會有相應(yīng)的安全流程撤消該員工對系統(tǒng)和數(shù)據(jù)的訪問權(quán)限,消除離職員工仍然可以訪問系統(tǒng)和數(shù)據(jù)的風(fēng)險。
但是,機器員工卻不必遵守這樣的安全制度。對于許多企業(yè)和機構(gòu)而言,退役的機器工人的訪問權(quán)限往往保持不變。這就為網(wǎng)絡(luò)罪犯提供了利用“孤兒賬戶”進行未經(jīng)授權(quán)訪問并發(fā)起網(wǎng)絡(luò)攻擊的機會。
顯然,企業(yè)必須跟蹤和管理非人類員工的生命周期。否則,網(wǎng)絡(luò)罪犯會發(fā)起網(wǎng)絡(luò)攻擊,對整個組織造成破壞。
通過使用適當(dāng)?shù)姆椒▉肀O(jiān)視和管理非人類員工的生命周期,組織可以提高運營效率,減少攻擊面,并預(yù)防與這些實體及其訪問相關(guān)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露以及合規(guī)性問題。以下,是幾種企業(yè)安全管理者需要關(guān)注的“機器工人”:
服務(wù)賬號
服務(wù)賬戶通常在操作系統(tǒng)中用于執(zhí)行應(yīng)用程序或運行程序。它也可以用來在Unix和Linux上啟動程序。服務(wù)賬戶屬于特定的服務(wù)和應(yīng)用程序,而不是最終用戶。
常見的服務(wù)賬戶類型包括(其中包括):
- 管理(例如,提供對本地主機或?qū)嵗蚩缰付ㄓ虻乃泄ぷ髡竞头?wù)器的訪問)
- 應(yīng)用程序(例如,允許應(yīng)用程序訪問數(shù)據(jù)庫、執(zhí)行批處理任務(wù)、運行腳本以及訪問其他應(yīng)用程序)
- 非交互(例如,用于系統(tǒng)進程或服務(wù)的交互、運行自動腳本以安排任務(wù))
- 機器人流程自動化(例如,使最終用戶能夠配置計算機軟件也稱為“機器人”的技術(shù),該軟件模擬并集成了使用數(shù)字系統(tǒng)執(zhí)行業(yè)務(wù)流程所涉及的人工行為)
服務(wù)賬戶管理不善是全球組織的主要問題。以下是最新的服務(wù)賬戶安全性報告中一些觸目驚心的統(tǒng)計信息:
- 73%的組織在將應(yīng)用程序移至生產(chǎn)環(huán)境之前未審核、刪除或修改默認(rèn)服務(wù)賬戶;
- 70%的人無法完全找到他們的賬戶;
- 40%的人沒有嘗試找到這些賬戶;
- 20%的用戶從未更改過賬戶密碼。
特別是RPA,無意間為人類和非人類工人創(chuàng)造了新的網(wǎng)絡(luò)攻擊面。用于RPA軟件的機器人需要特權(quán)訪問權(quán)限才能登錄到ERP、CRM或其他業(yè)務(wù)系統(tǒng)以執(zhí)行任務(wù)。因此,特權(quán)憑證通常直接被硬編碼到機器人用來完成執(zhí)行任務(wù)的腳本或流程規(guī)則中。
RPA機器人也可以從現(xiàn)成的商業(yè)應(yīng)用程序配置文件或在其他不安全的位置檢索憑據(jù)。同時,員工也可以共享數(shù)據(jù)庫RPA憑據(jù),因此這些憑據(jù)可以輕松地被多個員工重復(fù)使用。
如果RPA賬戶和憑據(jù)長時間保持不變,且沒有得到適當(dāng)?shù)谋Wo,則網(wǎng)絡(luò)犯罪分子可以發(fā)起攻擊竊取它們。一旦不法分子獲得了這些賬戶和憑據(jù),就可以提升權(quán)限并橫向移動以訪問企業(yè)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。
物聯(lián)網(wǎng)
物聯(lián)網(wǎng)設(shè)備使組織可以無線連接到網(wǎng)絡(luò)并傳輸數(shù)據(jù),無需人工或計算機干預(yù)。物聯(lián)網(wǎng)技術(shù)的普及推動了自動化、生產(chǎn)力和效率的提高,并且對于包括金融服務(wù)、醫(yī)療保健、高等教育、制造業(yè)和零售業(yè)在內(nèi)的眾多行業(yè)的組織而言,物聯(lián)網(wǎng)技術(shù)正變得越來越有價值。
業(yè)務(wù)數(shù)據(jù)可以存儲在物聯(lián)網(wǎng)設(shè)備上,并且這些設(shè)備還可以訪問敏感的公司和個人數(shù)據(jù),如果這些數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手,則容易遭受數(shù)據(jù)泄露。物聯(lián)網(wǎng)設(shè)備對于制造系統(tǒng)和安全系統(tǒng)的運行也至關(guān)重要,其身份和訪問權(quán)限必須明確,以防無意中被禁用。
但物聯(lián)網(wǎng)設(shè)備如果無法定期更新憑據(jù),或者停用后沒有撤銷其賬戶憑證,則會帶來網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險。此外,如果物聯(lián)網(wǎng)設(shè)備的虛擬助手遭到入侵,則網(wǎng)絡(luò)罪犯可以檢索該助手收集的信息。
聊天和交易機器人(bot)
聊天機器人使用AI以自然語言模擬與最終用戶的對話。這種類型的機器人可以在網(wǎng)站、消息傳遞應(yīng)用程序或移動應(yīng)用程序上使用,并且可以促進機器與人之間的通信。
網(wǎng)絡(luò)罪犯可以將聊天機器人變成“惡意機器人”,用來掃描企業(yè)網(wǎng)絡(luò)以查找將來可能被利用的其他安全漏洞,還可以竊取組織的數(shù)據(jù)并將其用于惡意目的。惡意機器人還可以偽裝成合法的人類用戶,并獲得對其他用戶數(shù)據(jù)的訪問權(quán)限。惡意機器人還可以被用來從公共資源和暗網(wǎng)上收集有關(guān)目標(biāo)受害者的數(shù)據(jù)。
交易機器人能夠代表人類客戶在特定對話場景中進行交易。交易機器人通常只服務(wù)于一個特定目的,具備快速便捷地完成交易的能力,但無法理解對話之外的信息。
但是交易機器人同樣也不能“免疫”黑客的網(wǎng)絡(luò)攻擊。如果交易機器人被網(wǎng)絡(luò)罪犯入侵,會被用來收集客戶數(shù)據(jù)。不法分子還可以用交易機器人進行欺詐性交易,或者阻止企業(yè)利用機器人來響應(yīng)客戶的關(guān)注、問題和請求。
對機器工人采取全面的生命周期管理方法
對非人類工人的生命周期采用端到端管理方法,可以確保組織在推動數(shù)字化轉(zhuǎn)型的同時保護其IT環(huán)境。對于嘗試在內(nèi)部、混合和云基礎(chǔ)架構(gòu)上擴展其運營的組織而言,這是當(dāng)務(wù)之急。
實施機器工人生命周期方法之前,組織必須首先識別管理對象和資產(chǎn)。需要回答以下問題:
- 誰構(gòu)成了我的員工隊伍,除了員工,最終用戶和供應(yīng)商?
- 必須管理哪些物聯(lián)網(wǎng)設(shè)備?
- 正在使用哪些機器人?
- 哪些RPA正在用于管理重復(fù)性活動?
- 需要監(jiān)視哪些服務(wù)賬戶?
- 是否必須遵守合規(guī)性要求?
- 如何跟蹤和管理賬戶和系統(tǒng)訪問?
- 是否有驗證程序來驗證機器工人的存在,以及如何使用與這些人類員工相關(guān)的身份和賬戶?
- 機器工人及其身份需要多長時間進行審核和重新驗證?
接下來,組織必須建立流程、程序和系統(tǒng),以驗證是否為所有機器工人正確分配了適當(dāng)?shù)脑L問權(quán)限。這要求組織:
- 識別賬戶和系統(tǒng)中的機器工人;
- 創(chuàng)建流程、程序和系統(tǒng),以確保所有非人類工人及其相關(guān)身份得到密切監(jiān)控和管理;
- 避免使用特權(quán)組,因為如果有內(nèi)置共享權(quán)限的賬戶被放入組中會產(chǎn)生難以檢測的賬戶濫用情況;
- 進行定期審核,了解如何、何時以及為何使用機器工人及其身份;
- 創(chuàng)建報告并定期審查,這樣可以確保將報告用于識別和解決異常的機器工人模式;
- 制定非人為的人工調(diào)配和下崗流程,這可減輕產(chǎn)生“孤兒”、未管理或過時非人工賬戶的風(fēng)險;
- 利用訪問權(quán)限管理軟件來確保正確設(shè)置非人工訪問權(quán)限并授予適當(dāng)?shù)臋?quán)限;
- 最后,組織必須在工人級別(而不是訪問級別)建立并維護所有非人類工人的權(quán)威記錄。該系統(tǒng)用作管理和監(jiān)視非人類工人生命周期的統(tǒng)一資源。此舉還能降低人為錯誤、安全風(fēng)險和合規(guī)性違規(guī)的風(fēng)險。
結(jié)論
不可否認(rèn),不知疲倦、不懼996的機器工人將創(chuàng)造巨大財富,而且在IT環(huán)境中廣泛應(yīng)用的趨勢不可阻擋。但是組織如何監(jiān)視和管理非人類工人的身份是關(guān)鍵問題。通過積極主動的方法,組織可以持續(xù)監(jiān)視和管理其非人類工人的身份,提高運營效率,并做好充分的準(zhǔn)備,以防止代價高昂的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件發(fā)生。
總之,今天的組織有充分的技術(shù)和方法可以輕松地管理非人類工人的身份生命周期,并根據(jù)需要進行審核。通過類似零信任的框架,組織完全可以補上非人類員工生命周期的短板,確保僅在需要時才授予機器工人必要的訪問權(quán)限,就像對待人類員工一樣。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧