服务账户是用于实现机器间交互自动化的非人类身份。支持关键功能(例如运行脚本、服务和应用程序,如网站、API 和数据库),并促进集成,充当人类代理并支持业务流程。
在理想世界中,服务账户只有一项“工作”,被授予最低的资源访问权限,并根据身份安全卫生最佳实践进行监控和管理。在这个乌托邦中,威胁行为者和数据泄露都不存在。
但这是现实世界。服务账户通常被赋予过多特权,被遗忘,并且缺乏适当的密码安全协议。其中一些曾经高效的服务账户随着时间的推移变得沉寂,使其成为威胁行为者的合适目标。
什么原因导致服务账号处于休眠状态?
休眠账号是指不活跃的服务账号。虽然没有一个普遍接受的服务账号休眠时间范围,但一般来说,90 天不活跃是休眠定义开始生效的时间。如果服务账号在 90 天后未用于执行操作或访问系统,或者与已弃用的应用程序或服务相关联,则它们将被视为休眠账号。
休眠服务账户的其他参数包括分配给账户的过期权限或不再需要的角色。功能已被新账户取代的冗余服务账户也被视为休眠账户。最后,缺乏明确的所有者来跟踪服务账户的用途、访问链以及管理和更新密码也使它们处于休眠状态。
休眠服务账户如何成为攻击者的隐形钥匙
这些看似“死”的账户困扰着全球各行各业的组织,因为它们很容易被利用。休眠账户不为人知,组织不知道它们的访问权限、它们连接的系统、如何访问它们,甚至不知道它们存在的目的。
休眠服务账户拥有较高的权限、松懈的安全措施和隐蔽性,因此成为入侵的主要目标。通过入侵此类帐户,攻击者可以获得对系统和敏感数据的大量访问权限,而且通常在很长一段时间内都不会立即引起怀疑。在此期间,网络犯罪分子可以提升权限、窃取数据、破坏运营并安装恶意软件和后门,造成完全混乱,直到为时已晚才被发现。
休眠账户存在的漏洞会为进入组织系统打开大门。如果受到攻击,权限过高的休眠账户可能会泄露敏感数据,例如客户 PII、PHI、知识产权和财务记录,从而导致代价高昂且破坏性极强的数据泄露。
即使没有被攻破,休眠账户也是重大负担,可能会导致运营中断和违反法规。监管机构历来将身份与用户联系起来,导致开发了许多旨在保护人类账户的工具。例如,MFA是一种强大的用户账户安全方法。然而,MFA 不能应用于服务账户——作为自动化机器人,它们无法证明自己的身份。
在受到严格监管的行业中,过度特权的休眠账户可能导致不合规行为,从而产生法律后果、声誉损害和巨额罚款。
将安全认知转变为现代方法
传统上,安全从业人员认为边界是威胁行为者的主要入口点,但网络威胁的激增和增长以及技术的快速进步产生了大量新的攻击媒介。
为了解决这一问题,目前有超过 3,500 家供应商专注于解决网络安全的不同方面。安全从业人员面临着一项艰巨的任务,即拼凑各种工具和技术来保护他们的组织,并及时了解最新的变化和进步。
然而,我们生活在一个新的现实中,需要专业人员假设攻击者已经进入系统。这种观点的转变使企业能够通过解决内部弱点(例如休眠服务帐户)更好地应对潜在攻击。
虽然目前大多数企业都依赖静态身份漏洞解决方案来检测人类和非人类(服务)身份的异常活动,但这些工具往往存在不足。它们仅提供当前行为的快照,不考虑休眠账户,缺乏跟踪随时间变化的能力。
关键的第一步是发现休眠账户及其相关服务和特权。实施具有行为监控和流媒体功能的现代身份安全解决方案,使企业能够找到人类和机器账户并实时接收其活动更新,从而持续监控和检测异常行为。
原文始发于微信公众号(河南等级保护测评):特权过高的休眠服务账户存在的风险
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论