当网络安全人员误入大型企业IT系统的黑厨房时,常常感慨“天上有个洞”。就像上周末登上娱乐头条的大连车厂,就利用盗版系统在交通生产电脑中安装了旧版Flash。这实际上是一个常见的“全面业务连续性”俄罗斯轮盘赌,如果每个经理都扣动扳机并称赞它的安全性,我们就认为它是安全的,任何来自安全方面的缓解建议的尝试都是危险的、愚蠢的和徒劳的。这些比“删库逃跑”凶猛十倍的“高级持续性威胁”和APT外来杀手,其实不是别人,正是我们自己制造的根深蒂固的企业“暗网”,当今最危险的“暗网”“漏洞”一直潜伏在每个企业的数字资产中,比如:机器工人。在自动化时代,当我们讨论与人为错误相关的网络安全时,我们可能只是在谈论网络安全的冰山一角。随着企业向数字化、自动化、智能化转型,非人力劳动者数量快速增长。由于越来越多的全球企业在其数字化转型计划中优先考虑云计算、DevOps、物联网设备和人工智能,这些技术需要大量的非人类工人(我们称他们为机器工人,与知识工人形成对比)参与行动。然而,组织通常只对人类(员工、承包商等)应用访问控制,而对数据泄露、特权帐户访问和与非人类工作者相关的网络攻击的风险视而不见。此外,当员工离开公司时,通常会有安全流程来撤销该员工对系统和数据的访问权限,从而消除离职员工仍然可以访问系统和数据的风险。然而,机器工人不必遵守此类安全制度。对于许多企业和机构而言,退役机器人工人的访问权限通常保持不变。这为网络犯罪分子提供了使用“孤儿帐户”进行未经授权访问并发起网络攻击的机会。显然,企业必须跟踪和管理非人类员工的生命周期。否则,网络犯罪分子可能会发起网络攻击,对整个组织造成严重破坏。通过使用适当的方法来监控和管理非人类员工的生命周期,组织可以提高运营效率,减少攻击面,并防止与这些实体及其访问相关的网络攻击、数据泄露和合规性问题。以下是企业安全管理者需要关注的几类“机器工人”:服务账号服务账号通常在操作系统中用于执行应用程序或运行程序。它还可以用于启动Unix和Linux上的程序。服务账户属于特定的服务和应用程序,而不是最终用户。常见的服务帐户类型包括(除其他外):管理员(例如,提供对本地主机或实例上或跨指定域的所有工作站和服务器的访问)应用程序(例如,允许应用程序访问数据库、执行批处理任务、运行编写脚本和访问其他应用程序)非交互式(例如,与系统进程或服务交互,运行自动化脚本来安排任务)机器人过程自动化(例如,使最终用户能够配置计算机软件的技术,也称为“机器人”,软件模拟并集成了使用数字系统执行业务流程所涉及的人类行为)服务帐户管理不善是全球组织面临的一个主要问题。以下是来自最新服务帐户安全报告的一些惊人统计数据:73%的组织在将应用程序投入生产之前不会审查、删除或修改默认服务帐户;70%不能完全定位他们的账户;40%的人没有试图找到这些账户;20%的用户从未更改过他们的帐户密码。特别是RPA,无意中为人类和非人类工作者创造了新的网络攻击面。RPA软件中使用的机器人需要特权访问才能登录ERP、CRM或其他业务系统以执行任务。因此,特权凭证通常被直接硬编码到机器人用来完成执行任务的脚本或流程规则中。RPA机器人还可以从现成的业务应用程序配置文件或其他不安全的位置检索凭据。同时,员工还可以共享数据库RPA凭据,因此这些凭据可以很容易地被多个员工重复使用。如果RPA帐户和凭据长期保持不变并且没有得到妥善保护,网络犯罪分子可以发起攻击来窃取它们。一旦犯罪分子获得了对这些帐户和凭据的访问权限,他们就可以提升权限并横向移动以访问企业的应用程序、数据和系统。IoTIoT设备允许组织无线连接到网络并传输数据,而无需人工或计算机干预。物联网技术的普及推动了更高的自动化程度、生产力和效率,并且对金融服务、医疗保健、高等教育、制造和零售等众多行业的组织变得越来越重要。更有价值。业务数据可以存储在物联网设备上,这些设备还可以访问敏感的公司和个人数据,如果落入网络犯罪分子手中,这些设备很容易遭受数据泄露。物联网设备对于制造系统和安全系统的运行也至关重要,它们的身份和访问权限必须明确,以防止无意中禁用。但是,如果物联网设备未能定期更新其凭据,或未能在停用后撤销其帐户凭据,则会带来网络攻击和数据泄露的风险。此外,如果物联网设备的虚拟助手遭到破坏,网络犯罪分子可以检索助手收集的信息。聊天和交易机器人(bots)聊天机器人使用AI以自然语言模拟与最终用户的对话。这种类型的机器人可以在网站、消息应用程序或移动应用程序上使用,并且可以促进人与人之间的交流。网络罪犯可以将聊天机器人变成“恶意机器人”,扫描企业网络以寻找未来可能被利用的额外安全漏洞,并窃取组织的数据并将其用于恶意目的。恶意机器人还可以伪装成合法的人类用户并获得对其他用户数据的访问权限。恶意机器人也可用于从公共资源和暗网收集有关目标受害者的数据。交易机器人能够在特定的对话场景中代表人类客户进行交易。交易机器人通常服务于特定目的,能够快速轻松地完成交易,但无法理解对话之外的信息。但交易机器人也不能“免疫”黑客的网络攻击。如果交易机器人被网络犯罪分子入侵,它们可以用来收集客户数据。犯罪分子还可以使用交易机器人进行欺诈交易或阻止企业使用机器人来响应客户的担忧、问题和请求。对机器人员工采用整体生命周期管理方法采用端到端方法管理非人类员工的生命周期可以确保组织在推动数字化转型的同时保护其IT环境。这对于试图跨本地、混合和云基础设施扩展其运营的组织来说是必不可少的。在实施机器人工人生命周期方法之前,组织必须首先识别托管对象和资产。需要回答以下问题:除了员工、最终用户和供应商之外,还有谁组成了我的员工队伍?必须管理哪些物联网设备?使用了哪些机器人?哪个RPA用于管理重复性活动?需要监控哪些服务帐户?是否有必须遵守的合规要求?如何跟踪和管理帐户和系统访问?是否有验证程序来验证机器工人的存在,以及如何使用与这些人类工人相关的身份和帐户?机器工人及其身份需要多长时间才能进行审核和重新验证?接下来,组织必须建立流程、程序和系统,以验证所有机器工人都被正确分配了适当的访问权限。这要求组织:识别账户和系统中的机器工人;创建流程、程序和系统,以确保所有非人类工作者及其相关身份得到密切监控和管理;分组会导致难以检测的帐户滥用;进行定期审计,以了解机器工人的使用方式、时间和原因,以及他们是谁;创建报告并定期审查,以便报告用于识别和解决异常机器Worker模型;制定非人力重新部署和裁员流程,以降低创建“孤儿”、不受管理或过时的非人力账户的风险;利用访问权限管理软件确保正确设置非人工访问并授予适当的权限;最后,组织必须在工作人员级别(而不是访问级别)建立和维护所有非人类工作人员的权威记录。该系统作为管理和监控非人类工作者生命周期的统一资源。这也降低了人为错误、安全风险和合规性违规的风险。结语不可否认,孜孜不倦、不惧996的机器工人将创造出巨大的财富,在IT环境中广泛应用的趋势势不可挡。但组织如何监控和管理非人类员工的身份是一个关键问题。通过积极主动的方法,组织可以持续监控和管理非人类员工的身份,提高运营效率,并做好更好的准备,以防止代价高昂的网络攻击和数据泄露的发生。总之,当今的组织拥有足够的技术和方法来轻松管理非人类员工的身份生命周期并根据需要进行审计。通过像零信任这样的框架,组织可以完全弥合非人类员工生命周期中的差距,确保机器员工只在需要时才被授予必要的访问权限,就像人类员工一样。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
