信息化觀察網(wǎng)

當(dāng)網(wǎng)絡(luò)安全人士誤入一家大型企業(yè)IT系統(tǒng)濕暗的后廚時，往往會感慨“別有洞天”。正如上周末登上娛樂頭條的大連車務(wù)段，在運輸生產(chǎn)電腦用盜版系統(tǒng)安裝舊版本Flash。這其實是一種常見的“業(yè)務(wù)連續(xù)性壓倒一切”的俄羅斯輪盤賭，如果每屆管理者扣動扳機后贊揚其安全性，我們就認(rèn)為它是安全的，來自安全部門的任何嘗試緩解的建議都會是危險、愚蠢且徒勞的。這些比“刪庫跑路”和APT洋殺手還要兇猛十倍的“高級持續(xù)性威脅”，其實不是別人，正是我們自己制造的根深蒂固的企業(yè)“暗網(wǎng)”，如今最危險的“暗網(wǎng)漏洞”已經(jīng)潛伏到每個企業(yè)的數(shù)字資產(chǎn)中，例如：機器工人。

自動化時代，當(dāng)我們討論與人的錯誤有關(guān)的網(wǎng)絡(luò)安全時，我們討論的可能只是網(wǎng)絡(luò)安全的冰山一角。

隨著企業(yè)向數(shù)字化、自動化、智能化的轉(zhuǎn)型，非人類工人的數(shù)量正在快速增長。因為越來越多的全球企業(yè)在數(shù)字化轉(zhuǎn)型計劃，優(yōu)先考慮云計算、DevOps、IoT設(shè)備和人工智能，這些技術(shù)需要大量非人類工人（我們姑且稱之為機器工人，作為知識工人的對照）參與運營。

然而，組織通常僅將訪問控制應(yīng)用于人類（員工、承包商等），而對與非人類工人相關(guān)聯(lián)的數(shù)據(jù)泄露、特權(quán)賬戶訪問和網(wǎng)絡(luò)攻擊風(fēng)險視而不見。

此外，當(dāng)人類員工離職時，通常會有相應(yīng)的安全流程撤消該員工對系統(tǒng)和數(shù)據(jù)的訪問權(quán)限，消除離職員工仍然可以訪問系統(tǒng)和數(shù)據(jù)的風(fēng)險。

但是，機器員工卻不必遵守這樣的安全制度。對于許多企業(yè)和機構(gòu)而言，退役的機器工人的訪問權(quán)限往往保持不變。這就為網(wǎng)絡(luò)罪犯提供了利用“孤兒賬戶”進(jìn)行未經(jīng)授權(quán)訪問并發(fā)起網(wǎng)絡(luò)攻擊的機會。

顯然，企業(yè)必須跟蹤和管理非人類員工的生命周期。否則，網(wǎng)絡(luò)罪犯會發(fā)起網(wǎng)絡(luò)攻擊，對整個組織造成破壞。

通過使用適當(dāng)?shù)姆椒▉肀O(jiān)視和管理非人類員工的生命周期，組織可以提高運營效率，減少攻擊面，并預(yù)防與這些實體及其訪問相關(guān)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露以及合規(guī)性問題。以下，是幾種企業(yè)安全管理者需要關(guān)注的“機器工人”：

服務(wù)賬號

服務(wù)賬戶通常在操作系統(tǒng)中用于執(zhí)行應(yīng)用程序或運行程序。它也可以用來在Unix和Linux上啟動程序。服務(wù)賬戶屬于特定的服務(wù)和應(yīng)用程序，而不是最終用戶。

常見的服務(wù)賬戶類型包括（其中包括）：

●管理（例如，提供對本地主機或?qū)嵗蚩缰付ㄓ虻乃泄ぷ髡竞头?wù)器的訪問）

●應(yīng)用程序（例如，允許應(yīng)用程序訪問數(shù)據(jù)庫、執(zhí)行批處理任務(wù)、運行腳本以及訪問其他應(yīng)用程序）

●非交互（例如，用于系統(tǒng)進(jìn)程或服務(wù)的交互、運行自動腳本以安排任務(wù)）

●機器人流程自動化（例如，使最終用戶能夠配置計算機軟件也稱為“機器人”的技術(shù)，該軟件模擬并集成了使用數(shù)字系統(tǒng)執(zhí)行業(yè)務(wù)流程所涉及的人工行為）

服務(wù)賬戶管理不善是全球組織的主要問題。以下是最新的服務(wù)賬戶安全性報告中一些觸目驚心的統(tǒng)計信息：

●73％的組織在將應(yīng)用程序移至生產(chǎn)環(huán)境之前未審核、刪除或修改默認(rèn)服務(wù)賬戶；

●70％的人無法完全找到他們的賬戶；

●40％的人沒有嘗試找到這些賬戶；

●20％的用戶從未更改過賬戶密碼。

特別是RPA，無意間為人類和非人類工人創(chuàng)造了新的網(wǎng)絡(luò)攻擊面。用于RPA軟件的機器人需要特權(quán)訪問權(quán)限才能登錄到ERP、CRM或其他業(yè)務(wù)系統(tǒng)以執(zhí)行任務(wù)。因此，特權(quán)憑證通常直接被硬編碼到機器人用來完成執(zhí)行任務(wù)的腳本或流程規(guī)則中。

RPA機器人也可以從現(xiàn)成的商業(yè)應(yīng)用程序配置文件或在其他不安全的位置檢索憑據(jù)。同時，員工也可以共享數(shù)據(jù)庫RPA憑據(jù)，因此這些憑據(jù)可以輕松地被多個員工重復(fù)使用。

如果RPA賬戶和憑據(jù)長時間保持不變，且沒有得到適當(dāng)?shù)谋Ｗo(hù)，則網(wǎng)絡(luò)犯罪分子可以發(fā)起攻擊竊取它們。一旦不法分子獲得了這些賬戶和憑據(jù)，就可以提升權(quán)限并橫向移動以訪問企業(yè)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。

物聯(lián)網(wǎng)

物聯(lián)網(wǎng)設(shè)備使組織可以無線連接到網(wǎng)絡(luò)并傳輸數(shù)據(jù)，無需人工或計算機干預(yù)。物聯(lián)網(wǎng)技術(shù)的普及推動了自動化、生產(chǎn)力和效率的提高，并且對于包括金融服務(wù)、醫(yī)療保健、高等教育、制造業(yè)和零售業(yè)在內(nèi)的眾多行業(yè)的組織而言，物聯(lián)網(wǎng)技術(shù)正變得越來越有價值。

業(yè)務(wù)數(shù)據(jù)可以存儲在物聯(lián)網(wǎng)設(shè)備上，并且這些設(shè)備還可以訪問敏感的公司和個人數(shù)據(jù)，如果這些數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手，則容易遭受數(shù)據(jù)泄露。物聯(lián)網(wǎng)設(shè)備對于制造系統(tǒng)和安全系統(tǒng)的運行也至關(guān)重要，其身份和訪問權(quán)限必須明確，以防無意中被禁用。

但物聯(lián)網(wǎng)設(shè)備如果無法定期更新憑據(jù)，或者停用后沒有撤銷其賬戶憑證，則會帶來網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險。此外，如果物聯(lián)網(wǎng)設(shè)備的虛擬助手遭到入侵，則網(wǎng)絡(luò)罪犯可以檢索該助手收集的信息。

聊天和交易機器人（bot）

聊天機器人使用AI以自然語言模擬與最終用戶的對話。這種類型的機器人可以在網(wǎng)站、消息傳遞應(yīng)用程序或移動應(yīng)用程序上使用，并且可以促進(jìn)機器與人之間的通信。

網(wǎng)絡(luò)罪犯可以將聊天機器人變成“惡意機器人”，用來掃描企業(yè)網(wǎng)絡(luò)以查找將來可能被利用的其他安全漏洞，還可以竊取組織的數(shù)據(jù)并將其用于惡意目的。惡意機器人還可以偽裝成合法的人類用戶，并獲得對其他用戶數(shù)據(jù)的訪問權(quán)限。惡意機器人還可以被用來從公共資源和暗網(wǎng)上收集有關(guān)目標(biāo)受害者的數(shù)據(jù)。

交易機器人能夠代表人類客戶在特定對話場景中進(jìn)行交易。交易機器人通常只服務(wù)于一個特定目的，具備快速便捷地完成交易的能力，但無法理解對話之外的信息。

但是交易機器人同樣也不能“免疫”黑客的網(wǎng)絡(luò)攻擊。如果交易機器人被網(wǎng)絡(luò)罪犯入侵，會被用來收集客戶數(shù)據(jù)。不法分子還可以用交易機器人進(jìn)行欺詐性交易，或者阻止企業(yè)利用機器人來響應(yīng)客戶的關(guān)注、問題和請求。

對機器工人采取全面的生命周期管理方法

對非人類工人的生命周期采用端到端管理方法，可以確保組織在推動數(shù)字化轉(zhuǎn)型的同時保護(hù)其IT環(huán)境。對于嘗試在內(nèi)部、混合和云基礎(chǔ)架構(gòu)上擴(kuò)展其運營的組織而言，這是當(dāng)務(wù)之急。

實施機器工人生命周期方法之前，組織必須首先識別管理對象和資產(chǎn)。需要回答以下問題：

●誰構(gòu)成了我的員工隊伍，除了員工，最終用戶和供應(yīng)商？

●必須管理哪些物聯(lián)網(wǎng)設(shè)備？

●正在使用哪些機器人？

●哪些RPA正在用于管理重復(fù)性活動？

●需要監(jiān)視哪些服務(wù)賬戶？

●是否必須遵守合規(guī)性要求？

●如何跟蹤和管理賬戶和系統(tǒng)訪問？

●是否有驗證程序來驗證機器工人的存在，以及如何使用與這些人類員工相關(guān)的身份和賬戶？

●機器工人及其身份需要多長時間進(jìn)行審核和重新驗證？

接下來，組織必須建立流程、程序和系統(tǒng)，以驗證是否為所有機器工人正確分配了適當(dāng)?shù)脑L問權(quán)限。這要求組織：

●識別賬戶和系統(tǒng)中的機器工人；

●創(chuàng)建流程、程序和系統(tǒng)，以確保所有非人類工人及其相關(guān)身份得到密切監(jiān)控和管理；

●避免使用特權(quán)組，因為如果有內(nèi)置共享權(quán)限的賬戶被放入組中會產(chǎn)生難以檢測的賬戶濫用情況；

●進(jìn)行定期審核，了解如何、何時以及為何使用機器工人及其身份；

●創(chuàng)建報告并定期審查，這樣可以確保將報告用于識別和解決異常的機器工人模式；

●制定非人為的人工調(diào)配和下崗流程，這可減輕產(chǎn)生“孤兒”、未管理或過時非人工賬戶的風(fēng)險；

●利用訪問權(quán)限管理軟件來確保正確設(shè)置非人工訪問權(quán)限并授予適當(dāng)?shù)臋?quán)限；

最后，組織必須在工人級別（而不是訪問級別）建立并維護(hù)所有非人類工人的權(quán)威記錄。該系統(tǒng)用作管理和監(jiān)視非人類工人生命周期的統(tǒng)一資源。此舉還能降低人為錯誤、安全風(fēng)險和合規(guī)性違規(guī)的風(fēng)險。

結(jié)論

不可否認(rèn)，不知疲倦、不懼996的機器工人將創(chuàng)造巨大財富，而且在IT環(huán)境中廣泛應(yīng)用的趨勢不可阻擋。但是組織如何監(jiān)視和管理非人類工人的身份是關(guān)鍵問題。通過積極主動的方法，組織可以持續(xù)監(jiān)視和管理其非人類工人的身份，提高運營效率，并做好充分的準(zhǔn)備，以防止代價高昂的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件發(fā)生。

總之，今天的組織有充分的技術(shù)和方法可以輕松地管理非人類工人的身份生命周期，并根據(jù)需要進(jìn)行審核。通過類似零信任的框架，組織完全可以補上非人類員工生命周期的短板，確保僅在需要時才授予機器工人必要的訪問權(quán)限，就像對待人類員工一樣。