信息化觀察網(wǎng)

當(dāng)網(wǎng)絡(luò)安全人士誤入一家大型企業(yè)IT系統(tǒng)濕暗的后廚時(shí)，往往會(huì)感慨“別有洞天”。正如上周末登上娛樂(lè)頭條的大連車務(wù)段，在運(yùn)輸生產(chǎn)電腦用盜版系統(tǒng)安裝舊版本Flash。這其實(shí)是一種常見(jiàn)的“業(yè)務(wù)連續(xù)性壓倒一切”的俄羅斯輪盤賭，如果每屆管理者扣動(dòng)扳機(jī)后贊揚(yáng)其安全性，我們就認(rèn)為它是安全的，來(lái)自安全部門的任何嘗試緩解的建議都會(huì)是危險(xiǎn)、愚蠢且徒勞的。這些比“刪庫(kù)跑路”和APT洋殺手還要兇猛十倍的“高級(jí)持續(xù)性威脅”，其實(shí)不是別人，正是我們自己制造的根深蒂固的企業(yè)“暗網(wǎng)”，如今最危險(xiǎn)的“暗網(wǎng)漏洞”已經(jīng)潛伏到每個(gè)企業(yè)的數(shù)字資產(chǎn)中，例如：機(jī)器工人。

自動(dòng)化時(shí)代，當(dāng)我們討論與人的錯(cuò)誤有關(guān)的網(wǎng)絡(luò)安全時(shí)，我們討論的可能只是網(wǎng)絡(luò)安全的冰山一角。

隨著企業(yè)向數(shù)字化、自動(dòng)化、智能化的轉(zhuǎn)型，非人類工人的數(shù)量正在快速增長(zhǎng)。因?yàn)樵絹?lái)越多的全球企業(yè)在數(shù)字化轉(zhuǎn)型計(jì)劃，優(yōu)先考慮云計(jì)算、DevOps、IoT設(shè)備和人工智能，這些技術(shù)需要大量非人類工人（我們姑且稱之為機(jī)器工人，作為知識(shí)工人的對(duì)照）參與運(yùn)營(yíng)。

然而，組織通常僅將訪問(wèn)控制應(yīng)用于人類（員工、承包商等），而對(duì)與非人類工人相關(guān)聯(lián)的數(shù)據(jù)泄露、特權(quán)賬戶訪問(wèn)和網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)視而不見(jiàn)。

此外，當(dāng)人類員工離職時(shí)，通常會(huì)有相應(yīng)的安全流程撤消該員工對(duì)系統(tǒng)和數(shù)據(jù)的訪問(wèn)權(quán)限，消除離職員工仍然可以訪問(wèn)系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)。

但是，機(jī)器員工卻不必遵守這樣的安全制度。對(duì)于許多企業(yè)和機(jī)構(gòu)而言，退役的機(jī)器工人的訪問(wèn)權(quán)限往往保持不變。這就為網(wǎng)絡(luò)罪犯提供了利用“孤兒賬戶”進(jìn)行未經(jīng)授權(quán)訪問(wèn)并發(fā)起網(wǎng)絡(luò)攻擊的機(jī)會(huì)。

顯然，企業(yè)必須跟蹤和管理非人類員工的生命周期。否則，網(wǎng)絡(luò)罪犯會(huì)發(fā)起網(wǎng)絡(luò)攻擊，對(duì)整個(gè)組織造成破壞。

通過(guò)使用適當(dāng)?shù)姆椒▉?lái)監(jiān)視和管理非人類員工的生命周期，組織可以提高運(yùn)營(yíng)效率，減少攻擊面，并預(yù)防與這些實(shí)體及其訪問(wèn)相關(guān)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露以及合規(guī)性問(wèn)題。以下，是幾種企業(yè)安全管理者需要關(guān)注的“機(jī)器工人”：

服務(wù)賬號(hào)

服務(wù)賬戶通常在操作系統(tǒng)中用于執(zhí)行應(yīng)用程序或運(yùn)行程序。它也可以用來(lái)在Unix和Linux上啟動(dòng)程序。服務(wù)賬戶屬于特定的服務(wù)和應(yīng)用程序，而不是最終用戶。

常見(jiàn)的服務(wù)賬戶類型包括（其中包括）：

●管理（例如，提供對(duì)本地主機(jī)或?qū)嵗蚩缰付ㄓ虻乃泄ぷ髡竞头?wù)器的訪問(wèn)）

●應(yīng)用程序（例如，允許應(yīng)用程序訪問(wèn)數(shù)據(jù)庫(kù)、執(zhí)行批處理任務(wù)、運(yùn)行腳本以及訪問(wèn)其他應(yīng)用程序）

●非交互（例如，用于系統(tǒng)進(jìn)程或服務(wù)的交互、運(yùn)行自動(dòng)腳本以安排任務(wù)）

●機(jī)器人流程自動(dòng)化（例如，使最終用戶能夠配置計(jì)算機(jī)軟件也稱為“機(jī)器人”的技術(shù)，該軟件模擬并集成了使用數(shù)字系統(tǒng)執(zhí)行業(yè)務(wù)流程所涉及的人工行為）

服務(wù)賬戶管理不善是全球組織的主要問(wèn)題。以下是最新的服務(wù)賬戶安全性報(bào)告中一些觸目驚心的統(tǒng)計(jì)信息：

●73％的組織在將應(yīng)用程序移至生產(chǎn)環(huán)境之前未審核、刪除或修改默認(rèn)服務(wù)賬戶；

●70％的人無(wú)法完全找到他們的賬戶；

●40％的人沒(méi)有嘗試找到這些賬戶；

●20％的用戶從未更改過(guò)賬戶密碼。

特別是RPA，無(wú)意間為人類和非人類工人創(chuàng)造了新的網(wǎng)絡(luò)攻擊面。用于RPA軟件的機(jī)器人需要特權(quán)訪問(wèn)權(quán)限才能登錄到ERP、CRM或其他業(yè)務(wù)系統(tǒng)以執(zhí)行任務(wù)。因此，特權(quán)憑證通常直接被硬編碼到機(jī)器人用來(lái)完成執(zhí)行任務(wù)的腳本或流程規(guī)則中。

RPA機(jī)器人也可以從現(xiàn)成的商業(yè)應(yīng)用程序配置文件或在其他不安全的位置檢索憑據(jù)。同時(shí)，員工也可以共享數(shù)據(jù)庫(kù)RPA憑據(jù)，因此這些憑據(jù)可以輕松地被多個(gè)員工重復(fù)使用。

如果RPA賬戶和憑據(jù)長(zhǎng)時(shí)間保持不變，且沒(méi)有得到適當(dāng)?shù)谋Ｗo(hù)，則網(wǎng)絡(luò)犯罪分子可以發(fā)起攻擊竊取它們。一旦不法分子獲得了這些賬戶和憑據(jù)，就可以提升權(quán)限并橫向移動(dòng)以訪問(wèn)企業(yè)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。

物聯(lián)網(wǎng)

物聯(lián)網(wǎng)設(shè)備使組織可以無(wú)線連接到網(wǎng)絡(luò)并傳輸數(shù)據(jù)，無(wú)需人工或計(jì)算機(jī)干預(yù)。物聯(lián)網(wǎng)技術(shù)的普及推動(dòng)了自動(dòng)化、生產(chǎn)力和效率的提高，并且對(duì)于包括金融服務(wù)、醫(yī)療保健、高等教育、制造業(yè)和零售業(yè)在內(nèi)的眾多行業(yè)的組織而言，物聯(lián)網(wǎng)技術(shù)正變得越來(lái)越有價(jià)值。

業(yè)務(wù)數(shù)據(jù)可以存儲(chǔ)在物聯(lián)網(wǎng)設(shè)備上，并且這些設(shè)備還可以訪問(wèn)敏感的公司和個(gè)人數(shù)據(jù)，如果這些數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手，則容易遭受數(shù)據(jù)泄露。物聯(lián)網(wǎng)設(shè)備對(duì)于制造系統(tǒng)和安全系統(tǒng)的運(yùn)行也至關(guān)重要，其身份和訪問(wèn)權(quán)限必須明確，以防無(wú)意中被禁用。

但物聯(lián)網(wǎng)設(shè)備如果無(wú)法定期更新憑據(jù)，或者停用后沒(méi)有撤銷其賬戶憑證，則會(huì)帶來(lái)網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。此外，如果物聯(lián)網(wǎng)設(shè)備的虛擬助手遭到入侵，則網(wǎng)絡(luò)罪犯可以檢索該助手收集的信息。

聊天和交易機(jī)器人（bot）

聊天機(jī)器人使用AI以自然語(yǔ)言模擬與最終用戶的對(duì)話。這種類型的機(jī)器人可以在網(wǎng)站、消息傳遞應(yīng)用程序或移動(dòng)應(yīng)用程序上使用，并且可以促進(jìn)機(jī)器與人之間的通信。

網(wǎng)絡(luò)罪犯可以將聊天機(jī)器人變成“惡意機(jī)器人”，用來(lái)掃描企業(yè)網(wǎng)絡(luò)以查找將來(lái)可能被利用的其他安全漏洞，還可以竊取組織的數(shù)據(jù)并將其用于惡意目的。惡意機(jī)器人還可以偽裝成合法的人類用戶，并獲得對(duì)其他用戶數(shù)據(jù)的訪問(wèn)權(quán)限。惡意機(jī)器人還可以被用來(lái)從公共資源和暗網(wǎng)上收集有關(guān)目標(biāo)受害者的數(shù)據(jù)。

交易機(jī)器人能夠代表人類客戶在特定對(duì)話場(chǎng)景中進(jìn)行交易。交易機(jī)器人通常只服務(wù)于一個(gè)特定目的，具備快速便捷地完成交易的能力，但無(wú)法理解對(duì)話之外的信息。

但是交易機(jī)器人同樣也不能“免疫”黑客的網(wǎng)絡(luò)攻擊。如果交易機(jī)器人被網(wǎng)絡(luò)罪犯入侵，會(huì)被用來(lái)收集客戶數(shù)據(jù)。不法分子還可以用交易機(jī)器人進(jìn)行欺詐性交易，或者阻止企業(yè)利用機(jī)器人來(lái)響應(yīng)客戶的關(guān)注、問(wèn)題和請(qǐng)求。

對(duì)機(jī)器工人采取全面的生命周期管理方法

對(duì)非人類工人的生命周期采用端到端管理方法，可以確保組織在推動(dòng)數(shù)字化轉(zhuǎn)型的同時(shí)保護(hù)其IT環(huán)境。對(duì)于嘗試在內(nèi)部、混合和云基礎(chǔ)架構(gòu)上擴(kuò)展其運(yùn)營(yíng)的組織而言，這是當(dāng)務(wù)之急。

實(shí)施機(jī)器工人生命周期方法之前，組織必須首先識(shí)別管理對(duì)象和資產(chǎn)。需要回答以下問(wèn)題：

●誰(shuí)構(gòu)成了我的員工隊(duì)伍，除了員工，最終用戶和供應(yīng)商？

●必須管理哪些物聯(lián)網(wǎng)設(shè)備？

●正在使用哪些機(jī)器人？

●哪些RPA正在用于管理重復(fù)性活動(dòng)？

●需要監(jiān)視哪些服務(wù)賬戶？

●是否必須遵守合規(guī)性要求？

●如何跟蹤和管理賬戶和系統(tǒng)訪問(wèn)？

●是否有驗(yàn)證程序來(lái)驗(yàn)證機(jī)器工人的存在，以及如何使用與這些人類員工相關(guān)的身份和賬戶？

●機(jī)器工人及其身份需要多長(zhǎng)時(shí)間進(jìn)行審核和重新驗(yàn)證？

接下來(lái)，組織必須建立流程、程序和系統(tǒng)，以驗(yàn)證是否為所有機(jī)器工人正確分配了適當(dāng)?shù)脑L問(wèn)權(quán)限。這要求組織：

●識(shí)別賬戶和系統(tǒng)中的機(jī)器工人；

●創(chuàng)建流程、程序和系統(tǒng)，以確保所有非人類工人及其相關(guān)身份得到密切監(jiān)控和管理；

●避免使用特權(quán)組，因?yàn)槿绻袃?nèi)置共享權(quán)限的賬戶被放入組中會(huì)產(chǎn)生難以檢測(cè)的賬戶濫用情況；

●進(jìn)行定期審核，了解如何、何時(shí)以及為何使用機(jī)器工人及其身份；

●創(chuàng)建報(bào)告并定期審查，這樣可以確保將報(bào)告用于識(shí)別和解決異常的機(jī)器工人模式；

●制定非人為的人工調(diào)配和下崗流程，這可減輕產(chǎn)生“孤兒”、未管理或過(guò)時(shí)非人工賬戶的風(fēng)險(xiǎn)；

●利用訪問(wèn)權(quán)限管理軟件來(lái)確保正確設(shè)置非人工訪問(wèn)權(quán)限并授予適當(dāng)?shù)臋?quán)限；

最后，組織必須在工人級(jí)別（而不是訪問(wèn)級(jí)別）建立并維護(hù)所有非人類工人的權(quán)威記錄。該系統(tǒng)用作管理和監(jiān)視非人類工人生命周期的統(tǒng)一資源。此舉還能降低人為錯(cuò)誤、安全風(fēng)險(xiǎn)和合規(guī)性違規(guī)的風(fēng)險(xiǎn)。

結(jié)論

不可否認(rèn)，不知疲倦、不懼996的機(jī)器工人將創(chuàng)造巨大財(cái)富，而且在IT環(huán)境中廣泛應(yīng)用的趨勢(shì)不可阻擋。但是組織如何監(jiān)視和管理非人類工人的身份是關(guān)鍵問(wèn)題。通過(guò)積極主動(dòng)的方法，組織可以持續(xù)監(jiān)視和管理其非人類工人的身份，提高運(yùn)營(yíng)效率，并做好充分的準(zhǔn)備，以防止代價(jià)高昂的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件發(fā)生。

總之，今天的組織有充分的技術(shù)和方法可以輕松地管理非人類工人的身份生命周期，并根據(jù)需要進(jìn)行審核。通過(guò)類似零信任的框架，組織完全可以補(bǔ)上非人類員工生命周期的短板，確保僅在需要時(shí)才授予機(jī)器工人必要的訪問(wèn)權(quán)限，就像對(duì)待人類員工一樣。