當網絡安全人士誤入一家大型企業(yè)IT系統濕暗的后廚時，往往會感慨“別有洞天”。正如上周末登上娛樂頭條的大連車務段，在運輸生產電腦用盜版系統安裝舊版本Flash。這其實是一種常見的“業(yè)務連續(xù)性壓倒一切”的俄羅斯輪盤賭，如果每屆管理者扣動扳機后贊揚其安全性，我們就認為它是安全的，來自安全部門的任何嘗試緩解的建議都會是危險、愚蠢且徒勞的。這些比“刪庫跑路”和APT洋殺手還要兇猛十倍的“高級持續(xù)性威脅”，其實不是別人，正是我們自己制造的根深蒂固的企業(yè)“暗網”，如今最危險的“暗網漏洞”已經潛伏到每個企業(yè)的數字資產中，例如：機器工人。

[[376903]]

自動化時代，當我們討論與人的錯誤有關的網絡安全時，我們討論的可能只是網絡安全的冰山一角。

隨著企業(yè)向數字化、自動化、智能化的轉型，非人類工人的數量正在快速增長。因為越來越多的全球企業(yè)在數字化轉型計劃，優(yōu)先考慮云計算、DevOps、IoT設備和人工智能，這些技術需要大量非人類工人(我們姑且稱之為機器工人，作為知識工人的對照)參與運營。

然而，組織通常僅將訪問控制應用于人類(員工、承包商等)，而對與非人類工人相關聯的數據泄露、特權賬戶訪問和網絡攻擊風險視而不見。

此外，當人類員工離職時，通常會有相應的安全流程撤消該員工對系統和數據的訪問權限，消除離職員工仍然可以訪問系統和數據的風險。

但是，機器員工卻不必遵守這樣的安全制度。對于許多企業(yè)和機構而言，退役的機器工人的訪問權限往往保持不變。這就為網絡罪犯提供了利用“孤兒賬戶”進行未經授權訪問并發(fā)起網絡攻擊的機會。

顯然，企業(yè)必須跟蹤和管理非人類員工的生命周期。否則，網絡罪犯會發(fā)起網絡攻擊，對整個組織造成破壞。

通過使用適當的方法來監(jiān)視和管理非人類員工的生命周期，組織可以提高運營效率，減少攻擊面，并預防與這些實體及其訪問相關的網絡攻擊、數據泄露以及合規(guī)性問題。以下，是幾種企業(yè)安全管理者需要關注的“機器工人”：

服務賬號

服務賬戶通常在操作系統中用于執(zhí)行應用程序或運行程序。它也可以用來在Unix和Linux上啟動程序。服務賬戶屬于特定的服務和應用程序，而不是最終用戶。

常見的服務賬戶類型包括(其中包括)：

• 管理(例如，提供對本地主機或實例或跨指定域的所有工作站和服務器的訪問)
• 應用程序(例如，允許應用程序訪問數據庫、執(zhí)行批處理任務、運行腳本以及訪問其他應用程序)
• 非交互(例如，用于系統進程或服務的交互、運行自動腳本以安排任務)
• 機器人流程自動化(例如，使最終用戶能夠配置計算機軟件也稱為“機器人”的技術，該軟件模擬并集成了使用數字系統執(zhí)行業(yè)務流程所涉及的人工行為)

服務賬戶管理不善是全球組織的主要問題。以下是最新的服務賬戶安全性報告中一些觸目驚心的統計信息：

• 73%的組織在將應用程序移至生產環(huán)境之前未審核、刪除或修改默認服務賬戶;
• 70%的人無法完全找到他們的賬戶;
• 40%的人沒有嘗試找到這些賬戶;
• 20%的用戶從未更改過賬戶密碼。

特別是RPA，無意間為人類和非人類工人創(chuàng)造了新的網絡攻擊面。用于RPA軟件的機器人需要特權訪問權限才能登錄到ERP、CRM或其他業(yè)務系統以執(zhí)行任務。因此，特權憑證通常直接被硬編碼到機器人用來完成執(zhí)行任務的腳本或流程規(guī)則中。

RPA機器人也可以從現成的商業(yè)應用程序配置文件或在其他不安全的位置檢索憑據。同時，員工也可以共享數據庫RPA憑據，因此這些憑據可以輕松地被多個員工重復使用。

如果RPA賬戶和憑據長時間保持不變，且沒有得到適當的保護，則網絡犯罪分子可以發(fā)起攻擊竊取它們。一旦不法分子獲得了這些賬戶和憑據，就可以提升權限并橫向移動以訪問企業(yè)的應用程序、數據和系統。

物聯網

物聯網設備使組織可以無線連接到網絡并傳輸數據，無需人工或計算機干預。物聯網技術的普及推動了自動化、生產力和效率的提高，并且對于包括金融服務、醫(yī)療保健、高等教育、制造業(yè)和零售業(yè)在內的眾多行業(yè)的組織而言，物聯網技術正變得越來越有價值。

業(yè)務數據可以存儲在物聯網設備上，并且這些設備還可以訪問敏感的公司和個人數據，如果這些數據落入網絡罪犯之手，則容易遭受數據泄露。物聯網設備對于制造系統和安全系統的運行也至關重要，其身份和訪問權限必須明確，以防無意中被禁用。

但物聯網設備如果無法定期更新憑據，或者停用后沒有撤銷其賬戶憑證，則會帶來網絡攻擊和數據泄露的風險。此外，如果物聯網設備的虛擬助手遭到入侵，則網絡罪犯可以檢索該助手收集的信息。

聊天和交易機器人(bot)

聊天機器人使用AI以自然語言模擬與最終用戶的對話。這種類型的機器人可以在網站、消息傳遞應用程序或移動應用程序上使用，并且可以促進機器與人之間的通信。

網絡罪犯可以將聊天機器人變成“惡意機器人”，用來掃描企業(yè)網絡以查找將來可能被利用的其他安全漏洞，還可以竊取組織的數據并將其用于惡意目的。惡意機器人還可以偽裝成合法的人類用戶，并獲得對其他用戶數據的訪問權限。惡意機器人還可以被用來從公共資源和暗網上收集有關目標受害者的數據。

交易機器人能夠代表人類客戶在特定對話場景中進行交易。交易機器人通常只服務于一個特定目的，具備快速便捷地完成交易的能力，但無法理解對話之外的信息。

但是交易機器人同樣也不能“免疫”黑客的網絡攻擊。如果交易機器人被網絡罪犯入侵，會被用來收集客戶數據。不法分子還可以用交易機器人進行欺詐性交易，或者阻止企業(yè)利用機器人來響應客戶的關注、問題和請求。

對機器工人采取全面的生命周期管理方法

對非人類工人的生命周期采用端到端管理方法，可以確保組織在推動數字化轉型的同時保護其IT環(huán)境。對于嘗試在內部、混合和云基礎架構上擴展其運營的組織而言，這是當務之急。

實施機器工人生命周期方法之前，組織必須首先識別管理對象和資產。需要回答以下問題：

• 誰構成了我的員工隊伍，除了員工，最終用戶和供應商?
• 必須管理哪些物聯網設備?
• 正在使用哪些機器人?
• 哪些RPA正在用于管理重復性活動?
• 需要監(jiān)視哪些服務賬戶?
• 是否必須遵守合規(guī)性要求?
• 如何跟蹤和管理賬戶和系統訪問?
• 是否有驗證程序來驗證機器工人的存在，以及如何使用與這些人類員工相關的身份和賬戶?
• 機器工人及其身份需要多長時間進行審核和重新驗證?

接下來，組織必須建立流程、程序和系統，以驗證是否為所有機器工人正確分配了適當的訪問權限。這要求組織：

• 識別賬戶和系統中的機器工人;
• 創(chuàng)建流程、程序和系統，以確保所有非人類工人及其相關身份得到密切監(jiān)控和管理;
• 避免使用特權組，因為如果有內置共享權限的賬戶被放入組中會產生難以檢測的賬戶濫用情況;
• 進行定期審核，了解如何、何時以及為何使用機器工人及其身份;
• 創(chuàng)建報告并定期審查，這樣可以確保將報告用于識別和解決異常的機器工人模式;
• 制定非人為的人工調配和下崗流程，這可減輕產生“孤兒”、未管理或過時非人工賬戶的風險;
• 利用訪問權限管理軟件來確保正確設置非人工訪問權限并授予適當的權限;

最后，組織必須在工人級別(而不是訪問級別)建立并維護所有非人類工人的權威記錄。該系統用作管理和監(jiān)視非人類工人生命周期的統一資源。此舉還能降低人為錯誤、安全風險和合規(guī)性違規(guī)的風險。

結論

不可否認，不知疲倦、不懼996的機器工人將創(chuàng)造巨大財富，而且在IT環(huán)境中廣泛應用的趨勢不可阻擋。但是組織如何監(jiān)視和管理非人類工人的身份是關鍵問題。通過積極主動的方法，組織可以持續(xù)監(jiān)視和管理其非人類工人的身份，提高運營效率，并做好充分的準備，以防止代價高昂的網絡攻擊和數據泄露事件發(fā)生。

總之，今天的組織有充分的技術和方法可以輕松地管理非人類工人的身份生命周期，并根據需要進行審核。通過類似零信任的框架，組織完全可以補上非人類員工生命周期的短板，確保僅在需要時才授予機器工人必要的訪問權限，就像對待人類員工一樣。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文