开年真是不算太平,除了现实世界里新冠病毒疫情爆发、沙特石油大战,赛博世界里也出现了大规模数据泄露事件,万豪酒店520万用户数据再遭泄露。该漏洞始于1月中旬,2月底被发现。对本来就处于复工复产初期不算景气的酒店业,也算是雪上加霜。
据悉,本次导致数据泄露的原因是通过万豪第三方特许经营酒店中两名员工的登录账号访问了大量敏感数据造成的。对比上次, 起即存在第三方账号对喜达屋网络未经授权的访问,但公司直到9月才第一次收到警报,今年同样的戏码再次上演。由此可以看出,对身份账号权限管理的重要性。
1. 企业账号体系日趋复杂 安全隐患增多
酒店管理系统比较复杂,通常涉及大量第三方参与系统开发与运维支持,并且存在大量的第三方接口,比如去哪儿、携程等APP都会通过API接口与酒店数据库连接,个人用户通过这些第三方APP预定房间时会更新同一个数据源。同时,酒旅行业中拥有大量的保洁员、IT工程师、维修师傅、外包等,人员构成复杂,为了方便开展工作,这些人员都有接入公司内网的账号权限。
传统的身份识别与访问管理(IAM)产品主要是围绕HR体系,通过管好自己的员工账户,并把这些账户的使用范围控制在办公室内,来防止数据泄露事件发生。但是类似酒旅、快递、零售等行业中的企业或者大型集团性企业中人员构成复杂,导致账号体系也异常复杂,再加上越来越多的个人终端设备接入内网、远程办公的火热,传统IAM产品就显得力不从心。
一方面账号权限管理不灵活,比如,一个外包员工离职,企业HR体系未必及时更新,该账号权限会依然保留,这样一个非法账户就留下了,潜在安全隐患产生。
另一方面无法及时发现账号行为异常,防止“内鬼作案”。比如,一个由于临时业务需求被赋予了高等级权限的账号突然开始访问不应该访问的数据库,这就是异常行为,需要及时阻止,否则就容易出现数据泄露事件。
目前越来越多由账号管理问题导致的安全事件频繁发生。而任何一次信息泄露事件,对企业带来的不仅是经济上的损失,更是对企业商誉的破坏。上次万豪数据泄露被GDPR处以9,900万英镑的罚款,是迄今为止最高的数据泄露罚款之一。
2. 以UEBA为核心的统一身份认证服务是必然趋势
统一身份认证服务是通过统一的身份认证服务中台,做到对所有企业账号权限的一站式生命周期管理,比如,员工入职时可以一键开通账号权限,离职时一键删除在企业内的所有账号权限,为外包员工申请的短期或临时账号权限过期后被自动收回,等等。通过这些最佳实践,可以确保企业的账户权限都是受控的。
UEBA,即用户行为分析,即对员工账号权限做统一管理后,还需要实时检测和发现账号的异常行为,不仅保障使用该账号的人是真正拥有该账号的人,而且保障该账号所做的操作在其正常职责范围内,一旦发现异常及时告警并阻断危险行为,这也是UEBA越来越被企业接受和认可的原因所在。
UEBA动态防御
阿里云提供的统一身份认证服务IDaaS(IDentity as a Service),可以基于云原生安全能力,将每个用户账号在网络、操作系统、中间件、应用等方面产出的行为日志汇集,通过 AI算法进行分析,形成每个用户正常行为的安全基线,即用户行为画像,从而当某个用户账号出现异常行时,比如平时不访问数据库的账号访问数据库并做出拖库操作,或者一个用户突然在一段时间内频繁的访问敏感信息,IDaaS会立即做出阻断,或通过钉钉告知到管理员,做到自动防御为主,人工干预为辅,降低人工成本的同时,大大提升了安全事件自动响应速度,将企业安全水位拉升到一个新高度。
借助IDaaS,企业可以轻松判断每个账号背后所代表的“你是否是你,并且你的行为是否合理”。在此次万豪数据泄露事件中,正是由于第三方特许经营酒店中两名员工登录账号被不合理使用导致的数据泄露。抛开账户是否合法不说,显然对用户账号行为的监控也是缺少的。
除了酒旅行业,以UEBA为核心的统一身份认证能力同样适用于快递、零售行业中网点众多、人员分散的办公场景。在这类企业组织架构中,任何一个边缘账号被盗用,或做了未经授权的访问,都有可能导致大量消费者信息泄露。所以保障每个用户访问系统的账号安全,不使用弱密码,不多人共享账号,及时发现每个用户账号访问行为异常,至关重要。
