2020開年真是不算太平,除了現實世界裏新冠病毒疫情爆發、沙特石油大戰,賽博世界裏也出現了大規模數據泄露事件,萬豪酒店520萬用戶數據再遭泄露。該漏洞始於2020年1月中旬,2020年2月底被發現。對本來就處於復工復產初期不算景氣的酒店業,也算是雪上加霜。
據悉,本次導致數據泄露的原因是通過萬豪第三方特許經營酒店中兩名員工的登錄賬號訪問了大量敏感數據造成的。對比上次, 2014年起即存在第三方賬號對喜達屋網絡未經授權的訪問,但公司直到2018年9月才第一次收到警報,今年同樣的戲碼再次上演。由此可以看出,對身份賬號權限管理的重要性。
1. 企業賬號體系日趨複雜 安全隱患增多
酒店管理系統比較複雜,通常涉及大量第三方參與系統開發與運維支持,並且存在大量的第三方接口,比如去哪兒、攜程等APP都會通過API接口與酒店數據庫連接,個人用戶通過這些第三方APP預定房間時會更新同一個數據源。同時,酒旅行業中擁有大量的保潔員、IT工程師、維修師傅、外包等,人員構成複雜,爲了方便開展工作,這些人員都有接入公司內網的賬號權限。
傳統的身份識別與訪問管理(IAM)產品主要是圍繞HR體系,通過管好自己的員工賬戶,並把這些賬戶的使用範圍控制在辦公室內,來防止數據泄露事件發生。但是類似酒旅、快遞、零售等行業中的企業或者大型集團性企業中人員構成複雜,導致賬號體系也異常複雜,再加上越來越多的個人終端設備接入內網、遠程辦公的火熱,傳統IAM產品就顯得力不從心。
一方面賬號權限管理不靈活,比如,一個外包員工離職,企業HR體系未必及時更新,該賬號權限會依然保留,這樣一個非法賬戶就留下了,潛在安全隱患產生。
另一方面無法及時發現賬號行爲異常,防止“內鬼作案”。比如,一個由於臨時業務需求被賦予了高等級權限的賬號突然開始訪問不應該訪問的數據庫,這就是異常行爲,需要及時阻止,否則就容易出現數據泄露事件。
目前越來越多由賬號管理問題導致的安全事件頻繁發生。而任何一次信息泄露事件,對企業帶來的不僅是經濟上的損失,更是對企業商譽的破壞。上次萬豪數據泄露被GDPR處以9,900萬英鎊的罰款,是迄今爲止最高的數據泄露罰款之一。
2. 以UEBA爲核心的統一身份認證服務是必然趨勢
統一身份認證服務是通過統一的身份認證服務中臺,做到對所有企業賬號權限的一站式生命週期管理,比如,員工入職時可以一鍵開通賬號權限,離職時一鍵刪除在企業內的所有賬號權限,爲外包員工申請的短期或臨時賬號權限過期後被自動收回,等等。通過這些最佳實踐,可以確保企業的賬戶權限都是受控的。
UEBA,即用戶行爲分析,即對員工賬號權限做統一管理後,還需要實時檢測和發現賬號的異常行爲,不僅保障使用該賬號的人是真正擁有該賬號的人,而且保障該賬號所做的操作在其正常職責範圍內,一旦發現異常及時告警並阻斷危險行爲,這也是UEBA越來越被企業接受和認可的原因所在。
UEBA動態防禦
阿里雲提供的統一身份認證服務IDaaS(IDentity as a Service),可以基於雲原生安全能力,將每個用戶賬號在網絡、操作系統、中間件、應用等方面產出的行爲日誌彙集,通過 AI算法進行分析, 形成每個用戶正常行爲的安全基線,即用戶行爲畫像,從而當某個用戶賬號出現異常行時,比如平時不訪問數據庫的賬號訪問數據庫並做出拖庫操作,或者一個用戶突然在一段時間內頻繁的訪問敏感信息,IDaaS會立即做出阻斷,或通過釘釘告知到管理員,做到自動防禦爲主,人工干預爲輔,降低人工成本的同時,大大提升了安全事件自動響應速度,將企業安全水位拉昇到一個新高度。
藉助IDaaS,企業可以輕鬆判斷每個賬號背後所代表的“你是否是你,並且你的行爲是否合理”。在此次萬豪數據泄露事件中,正是由於第三方特許經營酒店中兩名員工登錄賬號被不合理使用導致的數據泄露。拋開賬戶是否合法不說,顯然對用戶賬號行爲的監控也是缺少的。
除了酒旅行業,以UEBA爲核心的統一身份認證能力同樣適用於快遞、零售行業中網點衆多、人員分散的辦公場景。在這類企業組織架構中,任何一個邊緣賬號被盜用,或做了未經授權的訪問,都有可能導致大量消費者信息泄露。所以保障每個用戶訪問系統的賬號安全,不使用弱密碼,不多人共享賬號,及時發現每個用戶賬號訪問行爲異常,至關重要。