雖然2014年的很多大型數(shù)據(jù)泄露事故都源自于外部攻擊，但事實(shí)是，內(nèi)部攻擊仍然是安全人員的首要考慮問題。事實(shí)上，根據(jù)PwC最新發(fā)表的報(bào)告顯示，來自現(xiàn)任和前任員工的惡意行為是被提及次數(shù)最多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，超過了有組織的罪犯、民族國家或其他外部攻擊者的攻擊行為。在該報(bào)告發(fā)布后不久，安全行業(yè)就證實(shí)了這個(gè)問題，據(jù)報(bào)道，AT&T某員工成功地進(jìn)入客戶數(shù)據(jù)庫并訪問了約1600位電信用戶的敏感信息。

[[121242]]

這個(gè)數(shù)據(jù)泄露事故再次強(qiáng)調(diào)了特權(quán)身份管理和身份識(shí)別監(jiān)控的重要性，企業(yè)應(yīng)該確保員工只能訪問其工作需要的數(shù)據(jù)，而不能濫用其特權(quán)來訪問數(shù)據(jù)來破壞客戶資料記錄。

“我們必須認(rèn)識(shí)到，我們并沒有100%的方法阻止具有訪問權(quán)限的惡意員工訪問客戶數(shù)據(jù)。防止這種情況的最好方法是限制訪問給那些需要的員工，”BeyondTrust公司開發(fā)高級(jí)主管Chris Silva表示，“例如，客戶支持代表是否需要訪問社會(huì)安全數(shù)據(jù)?答案可能是肯定的，所以他們可以確認(rèn)來電者的身份，但你可以通過日志記錄所有交易以及限制個(gè)人可以訪問的范圍來控制潛在的危害”

目前我們還不清楚AT&T泄露事故中涉及的是什么樣的員工，但Silva推測(cè)該公司可能已經(jīng)部署了某種控制，鑒于1600條記錄只是該公司整個(gè)客戶數(shù)據(jù)庫中的相對(duì)較小的部分。然而，這個(gè)事件也給企業(yè)敲響了警鐘，他們需要找到辦法來嚴(yán)格控制對(duì)大量敏感數(shù)據(jù)的訪問權(quán)限。

“雖然該公司并沒有透露更多細(xì)節(jié)信息，但數(shù)據(jù)庫管理員具有對(duì)海量客戶數(shù)據(jù)的無限和未經(jīng)審計(jì)的訪問權(quán)限并不少見，而且還沒有任何監(jiān)管，”特權(quán)身份管理公司Lieberman首席執(zhí)行官Phil Lieberman表示，“最可怕的一種情況是，攻擊者感染數(shù)據(jù)庫管理員，并獲取其訪問權(quán)限來暗中竊取信息用于轉(zhuǎn)售或其他用途。”

更好的特權(quán)訪問管理還可以帶來更好的問責(zé)制，這可以潛在地檢測(cè)某種類型的知識(shí)產(chǎn)權(quán)盜竊。因?yàn)閷?duì)于很多公司，都有幾十個(gè)涉及知識(shí)產(chǎn)權(quán)的內(nèi)部攻擊沒有被報(bào)道：當(dāng)事情在內(nèi)部發(fā)生時(shí)，很多企業(yè)會(huì)選擇不告訴任何人，除非他們?cè)诜缮媳灰筮@樣做。PwC的調(diào)查顯示，75%的企業(yè)并沒有報(bào)道內(nèi)部盜竊。

同樣地，實(shí)行所謂的最小特權(quán)規(guī)則可以阻止外部攻擊，因?yàn)樗麄兺ǔＭㄟ^糟糕管理的特權(quán)賬戶來滲透網(wǎng)絡(luò)。

下面是企業(yè)可以采用的幾個(gè)主要方法：

1、列出特權(quán)賬戶

“如果你不能有效衡量特權(quán)賬戶的范圍，你將永遠(yuǎn)無法刪除或管理它們，”Silva表示，“審計(jì)員基本上想要知道所有這些特權(quán)賬戶在環(huán)境中的位置。”

企業(yè)還應(yīng)該認(rèn)識(shí)到，特權(quán)用戶可能包括不同的角色，除了IT管理員之外。

“傳統(tǒng)上，我們會(huì)將管理員稱之為特權(quán)用戶，但在實(shí)踐中，重要用戶(例如業(yè)務(wù)線管理員)也可能通過IT系統(tǒng)造成嚴(yán)重問題，”BalaBit公司產(chǎn)品經(jīng)理Csaba Krasznay表示，“出于這個(gè)原因，我們建議企業(yè)也應(yīng)該控制和監(jiān)控其活動(dòng)。”

2、附加身份信息到賬戶

內(nèi)部人員泄露事故可能永遠(yuǎn)不會(huì)被發(fā)現(xiàn)，如果超級(jí)用戶賬號(hào)登錄憑證為共享，并由多名員工在IT和企業(yè)其他部分被反復(fù)使用。你可能會(huì)認(rèn)為應(yīng)限制這種訪問類型，但這些賬戶每天都在企業(yè)共享。

“基本步驟是，企業(yè)應(yīng)該對(duì)所有特權(quán)訪問提供責(zé)任制，”Kraszny表示，“所有特權(quán)用戶都應(yīng)該有自己的身份信息。”

3、限制員工對(duì)數(shù)據(jù)的訪問

AT&T泄露事故強(qiáng)調(diào)了自動(dòng)化系統(tǒng)不僅應(yīng)該監(jiān)控對(duì)敏感系統(tǒng)的訪問，還應(yīng)該限制員工如何可以積累對(duì)這些數(shù)據(jù)的訪問。

他表示：“這種情況指出了對(duì)行為分析以及響應(yīng)系統(tǒng)的需求，當(dāng)違反數(shù)據(jù)訪問的‘正常’行為時(shí)，應(yīng)該處罰鎖定和企業(yè)響應(yīng)。”

4、監(jiān)控和其他超級(jí)用戶風(fēng)險(xiǎn)緩解

有時(shí)候企業(yè)可能無法為每個(gè)特權(quán)賬戶捆綁用戶身份信息。在這種情況下，監(jiān)控和其他緩解做法有助于降低風(fēng)險(xiǎn)。

“對(duì)于很多企業(yè)來說，強(qiáng)大的特權(quán)密碼管理做法，加上管理員憑證的登入與登出、自動(dòng)密碼循環(huán)、會(huì)話記錄，就已經(jīng)足夠了，”Silva表示，“在某些情況下，企業(yè)可能需要耕細(xì)粒度的授權(quán)政策，在必要時(shí)，移除用戶的管理員或根級(jí)登錄憑證。”