从滥用特权导致的数据泄露中吸取的主要教训

在之前的博文“特权滥用：威胁警报”中，我们概述了什么是特权滥用以及这种威胁为何如此严重。在今天的文章中，我们将从不同的角度来看待这个问题。我们将研究由特权帐户滥用引起的四起臭名昭著的数据泄露事件，以找到以下问题的答案：特权滥用实际上是如何发生的、为什么组织容易受到这种威胁模式的影响以及我们可以从这些泄露中吸取什么教训来加强我们的特权帐户安全。

特权帐户滥用位居最危险威胁模式列表之首。内部人员窃取敏感数据相对容易，但组织可能需要数月甚至数年的时间来检测和调查此类事件。损害可能是毁灭性的：根据 2017 年 IBM 数据泄露成本研究，组织在 2016 年因取证和调查活动、补救以及与安全事件相关的法律支出而损失了至少 362 万美元。

最常见的场景

无论威胁行为者是心怀不满的前雇员还是寻求经济利益的员工，导致安全漏洞的特权滥用往往只符合几种模式。 通过分析过去几年成为头条新闻的安全事件，我们确定了内部人员如何实际访问敏感数据的四种最常见场景：

1. 权限升级 - 内部人员故意提高其访问级别以获得更多访问权限。
2. 未经授权的访问——内部人员通过窃取或错误的方式访问其他用户的帐户。
3. 特权滥用——内部人员利用对系统和数据的合法访问来执行恶意活动。
4. 人为错误——内部人员无意或故意使用因错误或疏忽而授予的访问权限。

场景 #1 - 权限升级

爱德华·斯诺登：一名举报人在揭露美国国家安全局间谍计划后正在逃亡（2013 年）。

尽管我们听说过许多备受瞩目的泄露事件，但最引人注目的莫过于 2013 年国家安全局 (NSA) 的数据泄露。曾担任美国国家安全局系统管理员的承包商爱德华·斯诺登向《华盛顿邮报》和《卫报》泄露了国家安全局绝密电子监控计划的机密细节。有关国家安全局监视世界领导人、外国政府和美国公民以及试图破坏互联网安全的故事被公开，并使该机构陷入了他们能想象到的最严重丑闻的中心。

然而，斯诺登如何窃取 170 万份高度机密文件的完整故事可能永远不会公开。实际发生的最有可能的版本是，该机构对用户活动的可见性很差，并且对 IT 环境中的密钥和证书知之甚少，因此斯诺登能够伪造数字密钥，帮助他绕过身份验证机制并赋予他特权访问权限到超出他许可范围的区域。据报道，他还说服几名国家安全局工作人员向他提供用户名和密码，借口是他的工作需要这些信息——这种做法永远不会带来好的结果。

经验教训：

组织需要能够严格控制对包含机密信息以及完整密钥和证书清单的系统的访问。

场景 #2 - 未经授权的访问

出于经济动机的前员工带走了雇主的商业秘密（2013 年）。

Jason Needham 在 Allen & Hoshall 工程公司工作直至 2013 年，当时他决定成立自己的有竞争力的公司。但是，Allen & Hoshall 不知道的是，在辞职前不久，尼达姆获得了一位前同事的凭据——他在接下来的两年中使用这些凭据窃取了敏感数据，包括原理图、员工电子邮件、预算计划和营销文件。

李约瑟承认，为了自己的职业发展，他窥探他的前雇主并窃取其知识产权。但李约瑟究竟是如何访问他同事的账户的，目前仍不得而知。有两种可能的解释：Allen & Hoshall 员工将其凭证留在可见位置，或者与 Needham 共享。

此案例完美地说明了离职员工如何窃取您的数据。显然，Allen & Hoshall 并不知道他们的系统发生了什么，因为他们无法向监管机构解释 Needham 在离开公司后的两年内如何访问敏感数据。

经验教训：

组织应编制一份详尽的用户终止清单，并在员工辞职或被终止时使用它。它应包括最佳实践，例如立即禁用员工的帐户、终止 VPN 和远程桌面访问以及更改所有共享帐户密码。

场景 #3 - 权限滥用

Anthem 是另一起网络安全丑闻（2017 年）的中心。

2017 年 7 月，美国领先的健康保险公司 Anthem 同意就 2015 年著名的黑客事件达成和解，就在一个月后，该公司向客户通报了一次新的数据泄露事件。 Anthem 的第三方咨询公司报告称，2016 年 7 月，其一名员工向他的个人电子邮件发送了一份包含 18,500 名 Anthem 客户的 PHI 的文件。据称，他还参与了身份盗窃活动，并滥用了非 Anthem 数据。

承包商花了近一年的时间才发现并报告违规行为，因此该事件的范围很可能比报道的要大。调查尚未完成：我们不知道攻击是如何开始的，背后的动机是什么，以及员工如何处理被盗的数据。尽管 2017 年的违规行为并不是 Anthem 的直接责任，但该公司可能会面临与承包商相同的后果，包括因违规而产生的费用、不良宣传以及愤怒客户的额外诉讼。

经验教训：

组织必须实施定期特权用户监控。这不仅可以让您更好地控制 IT 环境，还可以阻止知道自己受到监视的用户的不当行为，并引导承包商密切关注其员工。

场景 #4 - 人为错误

关于恶意工作者和过多权限的经典故事（2017）。

尽管员工通常被授予比实际需要更多的访问权限，但我们很少听说这种过度配置导致的违规行为。最近一起新闻报道发生在 2017 年范德比尔特大学医学中心 (VUMC)，当时两名员工被指控不当访问 3,000 名患者的医疗记录。他们对 PHI 的未经授权的访问持续了 19 个月，直到在访问日志的例行审核中被发现，这是准备 HIPAA 审核的组织的标准程序。

这些员工担任患者转运员，该职位主要需要工作人员提供紧急转运服务并照顾低风险患者。然而，审计显示，员工查看的信息远多于履行工作职责所需的信息，例如患者的社会安全号码和病历号码。因此，VUMC 应该真正问问自己，这些员工是否拥有他们不需要的权限以及如何授予这些权限。此外，VUMC 应该调查为什么一年多来都无法检测到内部违规行为。

经验教训：

组织应严格执行最小权限原则，以最大程度地减少员工可以访问的数据，并密切监视用户行为以检测可疑的操作和模式。

要点

上面列出的所有违规行为都有一个共同点：组织对其关键系统和数据的情况了解有限。 2017 年 Netwrix IT 风险报告表明这个问题非常普遍。组织需要记住一个简单的规则：将每个用户帐户视为对数据完整性的潜在威胁，无论它属于普通员工还是具有读写权限的超级用户。为了缓解这些威胁，IT 专业人员需要确保用户仅拥有所需的访问权限，并在所有关键系统上执行用户活动监控。

详细了解如何降低组织中员工数据被盗的风险。