非人类账户的数量正在增长,特别是随着全球组织越来越重视云计算、DevOps、物联网设备和其他数字化转型计划。然而,组织经常只对人类(员工、承包商等)应用访问控制,尽管与非人类账户相关的网络攻击和数据泄露以及他们对敏感信息的特权访问存在相关风险。
此外,当人类员工离开组织时,组织通常会设置流程来撤销该员工对系统和数据的访问权限,从而消除对这些系统和数据的访问权限仍然可用的风险。
但是当不再需要非人类账户时会发生什么?对于许多组织而言,非人类账户的访问权限通常保持不变。这为网络犯罪分子提供了利用孤立帐户进行未经授权的访问并发起网络攻击的机会。
组织必须跟踪和管理非人类员工的生命周期方法。否则,网络犯罪分子可以发起网络攻击,对整个组织造成严重破坏。
通过适当的方法来监控和管理非人类账户的生命周期,组织可以提高运营效率,同时减少攻击面并阻止与这些实体及其访问相关的网络攻击、数据泄露和合规问题。
服务帐户通常在操作系统中用于执行应用程序或运行程序。它还可用于在 Unix 和 Linux 上启动程序。服务帐户属于特定的服务和应用程序,而不是最终用户。
常见的服务帐户类型包括(除其他外):
管理(例如,提供对指定域中的本地主机或实例或所有工作站和服务器的访问)
应用程序(例如,让应用程序访问数据库、执行批处理作业、运行脚本和访问其他应用程序)
非交互式(例如,用于系统进程或服务的那些,例如运行用于调度任务的自动化脚本)
机器人流程自动化 ( RPA )(例如,使最终用户能够配置计算机软件的技术,也称为“机器人”,它模拟和集成使用数字系统执行业务流程所涉及的人类行为)
服务帐户管理不善是全球组织的主要问题。考虑最近的服务帐户安全报告中的以下统计数据: 73% 的组织在将应用程序投入生产之前不会审核、删除或修改默认服务帐户;70% 的人无法完全找到他们的账户,40% 的人没有尝试找到这些账户;20% 的人从未更改过他们的帐户密码。
尤其是 RPA,无意中为人类和非人类账户创造了一个新的网络攻击面。用于 RPA 软件的机器人需要特权访问才能登录到 ERP、CRM 或其他业务系统来执行任务。因此,特权凭据通常直接硬编码到机器人用来完成这些任务的脚本或基于规则的进程中。
或者,RPA 机器人脚本可能会从商业现货 ( COTS ) 应用程序配置文件或其他不安全的位置检索凭据。同时,人类员工可以共享数据库 RPA 凭证,因此这些凭证可以很容易地被多个工人重复使用。
如果 RPA 帐户和凭据长时间保持不变且未得到适当保护,网络犯罪分子可能会发起攻击以窃取它们。一旦网络犯罪分子获得这些帐户和凭据,他们就可以使用它们来提升权限并横向移动以访问组织应用程序、数据和系统。
物联网设备让组织可以无线连接到网络并传输数据,而无需人工或计算机干预。它们推动了自动化、生产力和效率,并且对于金融服务、医疗保健、高等教育、制造和零售等众多行业的组织来说变得非常有价值。
业务数据可以存储在物联网设备上,这些设备还可以访问敏感的公司和个人数据,如果落入网络犯罪分子之手,它们很容易受到数据泄露。物联网设备对制造机械和安全系统的运行也至关重要,必须知道它们的身份和访问权限,以免无意中禁用它们。
一旦不再需要非人类账户,物联网设备凭证也存在不定期更新或撤销的风险,这可能使它们容易受到网络攻击和数据泄露。此外,如果物联网设备的虚拟助手遭到入侵,则助手收集的信息可能会被网络犯罪分子检索。
聊天机器人使用 AI 模拟与最终用户的自然语言对话。这种类型的机器人可用于网站、消息传递应用程序或移动应用程序,它促进机器和人类之间的通信。
网络犯罪分子可以将聊天机器人转变为“邪恶机器人”,并使用它来扫描组织的网络以查找将来可能被利用的其他安全漏洞。借助邪恶的机器人,网络犯罪分子可以窃取组织的数据并将其用于恶意目的。一个邪恶的机器人也可以伪装成一个合法的人类用户并访问另一个用户的数据。随着时间的推移,该机器人可用于从公共来源和暗网收集有关目标受害者的数据。
交易机器人代表人类行事,并让客户在对话的上下文中进行交易。机器人无法理解对话之外的信息——相反,机器人服务于一个特定目的,它为客户提供了快速方便地完成交易的能力。
交易机器人同样不是防黑客的。如果网络犯罪分子访问交易机器人,他们可以使用它来收集客户数据。他们还可以使用机器人进行欺诈交易或阻止组织利用机器人来响应客户的疑虑、问题和请求。
对非人类账户采用全面的生命周期方法 对非人类员工的生命周期采用端到端方法可确保组织能够同时推动数字化转型并保护其 IT 环境。对于试图跨本地、混合和云基础架构扩展其运营的组织来说,这是势在必行的。
为了确保与非人类账户相关的生命周期方法,组织必须首先识别它们。这需要组织考虑:
谁构成了我的员工队伍,包括员工、最终用户和供应商?
必须管理哪些物联网设备?
正在使用哪些机器人?
哪些 RPA 用于管理重复性活动?
需要监控哪些服务帐户?
是否有必须遵守的合规要求?
如何跟踪和管理帐户和系统访问?
是否有验证流程来验证非人类账户的存在以及如何使用与这些工人相关的身份和帐户?
非人类账户及其身份需要多久进行一次审核和重新验证?
接下来,组织必须建立流程、程序和系统,以验证所有非人类员工都正确分配了适当的访问权限。这要求组织:
为账户和系统识别非人工
创建流程、程序和系统,以确保所有非人类账户及其相关身份得到密切监控和管理
避免使用特权组,因为如果将帐户放入具有内置共享权限的组中,则很难检测到帐户滥用
执行定期审核以了解非人类账户及其身份被使用的方式、时间和原因
创建报告并定期审查;这确保了报告可用于识别和解决异常的非人类账户模式
制定非人类账户取消配置和离职流程;这降低了孤立、未管理和过时的非人工账户的风险
利用访问权限管理软件确保正确设置非人工访问权限并授予适当的权限
最后,组织必须在工人级别而不是访问级别上为所有非人类账户建立和维护权威记录。该系统作为管理和监控非人类账户生命周期的统一来源。它还降低了人为错误、安全风险和合规违规的风险。
毫无疑问,非人类账户提供了价值,并且只会继续在 IT 环境中被广泛采用。但组织如何监控和管理非人类员工身份是关键。通过积极主动的方法,组织可以持续监控和管理其非人类员工身份,提高运营效率,并做好充分准备,防止代价高昂的网络攻击和数据泄露事件发生。
此外,组织可以轻松管理非人类账户的关键身份生命周期阶段,并根据需要进行审计。最重要的是,组织可以缩小非人工生命周期的差距,并确保特权访问仅在需要时授予,然后在不再存在时立即删除——无一例外。