网络犯罪日益严重,有效保护敏感数据已然成为政府部门和强力机构面临的一大挑战。即便不断采用新技术,但面临的风险也无法完全消除。近年来,内部安全威胁的情况似乎更为紧迫,许多公布出来的网络***事件都是因采用已授权或未授权的特权账号针对政府内部IT资源的恶意访问造成的。
内部和外部安全威胁
政府机构的目标无疑是实现信息安全最高化,但这一目标面临着两大挑战:
外部***——越来越多的公民借助信息技术获取政府服务,政府人员则要访问各种敏感数据。交易的透明度是政府运作的特点,因为许多细节需要向公众公开,从本质上看,政府机构的任务就是处理大量的敏感数据/信息。这些特点都使得政府机构极容易受到来自业余、专业***们的数据盗窃和网络***。
内部***——信息安全的威胁并不总是来自外部,它也很可能从组织内部产生。心生不满的员工、贪婪的技术员、技术娴熟的承包商或被解雇的员工,都可能对企业信息进行恶意***,以及滥用特权。一些世界级的组织,包括许多政府机构,都曾有过被内部人员恶意破坏信息安全的经历。
传统意义上的***,Keylogger***(监视键盘操作,将其记录到文件中并发送给远程***者)、跨站点脚本(允许恶意***者将客户端脚本注入到其他用户查看的网页中,并利用其信息绕过访问控制)和病毒主要充当外部安全性***渠道。
但近年来,内部威胁似乎更加令人担忧,IT安全专家的分析表明,内部人员未经授权访问IT资源是政府机构目前增长最快的信息安全威胁,这种内部威胁正以前所未有的速度发展。安全设备、***检测解决方案和其他应用程序有助于打击外部威胁。
政府机构内部威胁是如何产生的?
在许多网络安全的案例中,机构内部员工通过滥用关键IT基础设施的特权访问、盗取身份,恶意***、破坏机构信息系统的机密性、完整性和可用性,这似乎已经成为内部人员独有的“***通道”。
通常情况下,政府机构有数千个特权密码,其中大部分用于共享环境,即一组管理员使用公共的特权帐户进行资源访问,密码由该组成员共同管理,所有成员都可以访问特权帐户。“共享”赋予了特权密码的匿名属性,即可以对其不加追踪地滥用,这种情况下,特权密码实际上处于完全无序、混乱的状态。
以下是对特权/管理密码的使用不当的原因:
敏感密码被存储在易失性资源中,如文本文件、电子表格、打印输出、自制工具,甚至是实体保险柜中。大量的管理密码被员工所熟知,如果包含共享管理密码的文本文件或电子表格不幸落到了犯罪分子的手中,企业的数据安全将受到威胁。
使用及访问特权密码的内部控制几乎不存在。管理员可以随意访问组织中任何资源的密码,通常情况下,Unix管理团队可以完全访问Windows密码,开发人员可以完全访问数据库密码等。
在共享环境中的密码是非个人的。对于有意或无意的密码错误,可能永远追踪不到具体的个人,通常没有关于“谁”在“什么时候”访问了“什么”资源的追踪信息,导致了员工对各自的操作缺乏责任感。
当政府机构涉及的其他成员需要临时访问特权密码时,主要通过口头或电子邮件获取临时密码,然而,之后却没有取消临时访问和重置密码的过程,这是一个巨大的安全漏洞。
由于共享的复杂性,很难确定谁可以访问哪些资源。当某个员工离开组织时,保护组织信息安全的唯一选择就是更改企业所有的特权密码,以防止该离职员工以后还能够通过特权密码访问内部资源,引发数据泄露风险。
为防止系统锁定问题,管理密码大多保持不变,因为手动更改数千个资源密码对于管理者来讲,工作异常繁重。
更糟的情况是,为便于管理员之间的协调,大多数资源都配置了相同或简易的密码。
除特权密码外,还有脚本中被嵌入的密码对企业安全构成严重威胁,因为可访问该脚本的恶意用户可轻松获得该密码。
密码管理的随意性使组织成为***们进行内部或外部***的天堂,许多安全事件和数据泄露实际上都是由于缺乏足够的密码管理策略、严格的内部控制造成的。
如果您正在寻找增强IT基础设施安全性保护关键数据的解决方案,ManageEngine Password Manage Pro(PMP)将是理想的选择。PMP是一个基于Web的安全存储库,用于存储和管理共享的敏感信息,如企业的密码、文档和数字信息。
ManageEngine Password Manage Pro有助于控制对任何“企业资源”(如服务器、数据库、网络设备、应用程序等)的管理密码的共享访问,帮助IT经理实施标准密码管理的最佳实践。