當(dāng)網(wǎng)絡(luò)安全人士誤入一家大型企業(yè)IT系統(tǒng)濕暗的后廚時(shí)，往往會(huì)感慨“別有洞天”。正如上周末登上娛樂頭條的大連車務(wù)段，在運(yùn)輸生產(chǎn)電腦用盜版系統(tǒng)安裝舊版本Flash。這其實(shí)是一種常見的“業(yè)務(wù)連續(xù)性壓倒一切”的俄羅斯輪盤賭，如果每屆管理者扣動(dòng)扳機(jī)后贊揚(yáng)其安全性，我們就認(rèn)為它是安全的，來自安全部門的任何嘗試緩解的建議都會(huì)是危險(xiǎn)、愚蠢且徒勞的。這些比“刪庫跑路”和APT洋殺手還要兇猛十倍的“高級持續(xù)性威脅”，其實(shí)不是別人，正是我們自己制造的根深蒂固的企業(yè)“暗網(wǎng)”，如今最危險(xiǎn)的“暗網(wǎng)漏洞”已經(jīng)潛伏到每個(gè)企業(yè)的數(shù)字資產(chǎn)中，例如：機(jī)器工人。

[[376903]]

自動(dòng)化時(shí)代，當(dāng)我們討論與人的錯(cuò)誤有關(guān)的網(wǎng)絡(luò)安全時(shí)，我們討論的可能只是網(wǎng)絡(luò)安全的冰山一角。

隨著企業(yè)向數(shù)字化、自動(dòng)化、智能化的轉(zhuǎn)型，非人類工人的數(shù)量正在快速增長。因?yàn)樵絹碓蕉嗟娜蚱髽I(yè)在數(shù)字化轉(zhuǎn)型計(jì)劃，優(yōu)先考慮云計(jì)算、DevOps、IoT設(shè)備和人工智能，這些技術(shù)需要大量非人類工人(我們姑且稱之為機(jī)器工人，作為知識工人的對照)參與運(yùn)營。

然而，組織通常僅將訪問控制應(yīng)用于人類(員工、承包商等)，而對與非人類工人相關(guān)聯(lián)的數(shù)據(jù)泄露、特權(quán)賬戶訪問和網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)視而不見。

此外，當(dāng)人類員工離職時(shí)，通常會(huì)有相應(yīng)的安全流程撤消該員工對系統(tǒng)和數(shù)據(jù)的訪問權(quán)限，消除離職員工仍然可以訪問系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)。

但是，機(jī)器員工卻不必遵守這樣的安全制度。對于許多企業(yè)和機(jī)構(gòu)而言，退役的機(jī)器工人的訪問權(quán)限往往保持不變。這就為網(wǎng)絡(luò)罪犯提供了利用“孤兒賬戶”進(jìn)行未經(jīng)授權(quán)訪問并發(fā)起網(wǎng)絡(luò)攻擊的機(jī)會(huì)。

顯然，企業(yè)必須跟蹤和管理非人類員工的生命周期。否則，網(wǎng)絡(luò)罪犯會(huì)發(fā)起網(wǎng)絡(luò)攻擊，對整個(gè)組織造成破壞。

通過使用適當(dāng)?shù)姆椒▉肀O(jiān)視和管理非人類員工的生命周期，組織可以提高運(yùn)營效率，減少攻擊面，并預(yù)防與這些實(shí)體及其訪問相關(guān)的網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露以及合規(guī)性問題。以下，是幾種企業(yè)安全管理者需要關(guān)注的“機(jī)器工人”：

服務(wù)賬號

服務(wù)賬戶通常在操作系統(tǒng)中用于執(zhí)行應(yīng)用程序或運(yùn)行程序。它也可以用來在Unix和Linux上啟動(dòng)程序。服務(wù)賬戶屬于特定的服務(wù)和應(yīng)用程序，而不是最終用戶。

常見的服務(wù)賬戶類型包括(其中包括)：

• 管理(例如，提供對本地主機(jī)或?qū)嵗蚩缰付ㄓ虻乃泄ぷ髡竞头?wù)器的訪問)
• 應(yīng)用程序(例如，允許應(yīng)用程序訪問數(shù)據(jù)庫、執(zhí)行批處理任務(wù)、運(yùn)行腳本以及訪問其他應(yīng)用程序)
• 非交互(例如，用于系統(tǒng)進(jìn)程或服務(wù)的交互、運(yùn)行自動(dòng)腳本以安排任務(wù))
• 機(jī)器人流程自動(dòng)化(例如，使最終用戶能夠配置計(jì)算機(jī)軟件也稱為“機(jī)器人”的技術(shù)，該軟件模擬并集成了使用數(shù)字系統(tǒng)執(zhí)行業(yè)務(wù)流程所涉及的人工行為)

服務(wù)賬戶管理不善是全球組織的主要問題。以下是最新的服務(wù)賬戶安全性報(bào)告中一些觸目驚心的統(tǒng)計(jì)信息：

• 73%的組織在將應(yīng)用程序移至生產(chǎn)環(huán)境之前未審核、刪除或修改默認(rèn)服務(wù)賬戶;
• 70%的人無法完全找到他們的賬戶;
• 40%的人沒有嘗試找到這些賬戶;
• 20%的用戶從未更改過賬戶密碼。

特別是RPA，無意間為人類和非人類工人創(chuàng)造了新的網(wǎng)絡(luò)攻擊面。用于RPA軟件的機(jī)器人需要特權(quán)訪問權(quán)限才能登錄到ERP、CRM或其他業(yè)務(wù)系統(tǒng)以執(zhí)行任務(wù)。因此，特權(quán)憑證通常直接被硬編碼到機(jī)器人用來完成執(zhí)行任務(wù)的腳本或流程規(guī)則中。

RPA機(jī)器人也可以從現(xiàn)成的商業(yè)應(yīng)用程序配置文件或在其他不安全的位置檢索憑據(jù)。同時(shí)，員工也可以共享數(shù)據(jù)庫RPA憑據(jù)，因此這些憑據(jù)可以輕松地被多個(gè)員工重復(fù)使用。

如果RPA賬戶和憑據(jù)長時(shí)間保持不變，且沒有得到適當(dāng)?shù)谋Ｗo(hù)，則網(wǎng)絡(luò)犯罪分子可以發(fā)起攻擊竊取它們。一旦不法分子獲得了這些賬戶和憑據(jù)，就可以提升權(quán)限并橫向移動(dòng)以訪問企業(yè)的應(yīng)用程序、數(shù)據(jù)和系統(tǒng)。

物聯(lián)網(wǎng)

物聯(lián)網(wǎng)設(shè)備使組織可以無線連接到網(wǎng)絡(luò)并傳輸數(shù)據(jù)，無需人工或計(jì)算機(jī)干預(yù)。物聯(lián)網(wǎng)技術(shù)的普及推動(dòng)了自動(dòng)化、生產(chǎn)力和效率的提高，并且對于包括金融服務(wù)、醫(yī)療保健、高等教育、制造業(yè)和零售業(yè)在內(nèi)的眾多行業(yè)的組織而言，物聯(lián)網(wǎng)技術(shù)正變得越來越有價(jià)值。

業(yè)務(wù)數(shù)據(jù)可以存儲在物聯(lián)網(wǎng)設(shè)備上，并且這些設(shè)備還可以訪問敏感的公司和個(gè)人數(shù)據(jù)，如果這些數(shù)據(jù)落入網(wǎng)絡(luò)罪犯之手，則容易遭受數(shù)據(jù)泄露。物聯(lián)網(wǎng)設(shè)備對于制造系統(tǒng)和安全系統(tǒng)的運(yùn)行也至關(guān)重要，其身份和訪問權(quán)限必須明確，以防無意中被禁用。

但物聯(lián)網(wǎng)設(shè)備如果無法定期更新憑據(jù)，或者停用后沒有撤銷其賬戶憑證，則會(huì)帶來網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)。此外，如果物聯(lián)網(wǎng)設(shè)備的虛擬助手遭到入侵，則網(wǎng)絡(luò)罪犯可以檢索該助手收集的信息。

聊天和交易機(jī)器人(bot)

聊天機(jī)器人使用AI以自然語言模擬與最終用戶的對話。這種類型的機(jī)器人可以在網(wǎng)站、消息傳遞應(yīng)用程序或移動(dòng)應(yīng)用程序上使用，并且可以促進(jìn)機(jī)器與人之間的通信。

網(wǎng)絡(luò)罪犯可以將聊天機(jī)器人變成“惡意機(jī)器人”，用來掃描企業(yè)網(wǎng)絡(luò)以查找將來可能被利用的其他安全漏洞，還可以竊取組織的數(shù)據(jù)并將其用于惡意目的。惡意機(jī)器人還可以偽裝成合法的人類用戶，并獲得對其他用戶數(shù)據(jù)的訪問權(quán)限。惡意機(jī)器人還可以被用來從公共資源和暗網(wǎng)上收集有關(guān)目標(biāo)受害者的數(shù)據(jù)。

交易機(jī)器人能夠代表人類客戶在特定對話場景中進(jìn)行交易。交易機(jī)器人通常只服務(wù)于一個(gè)特定目的，具備快速便捷地完成交易的能力，但無法理解對話之外的信息。

但是交易機(jī)器人同樣也不能“免疫”黑客的網(wǎng)絡(luò)攻擊。如果交易機(jī)器人被網(wǎng)絡(luò)罪犯入侵，會(huì)被用來收集客戶數(shù)據(jù)。不法分子還可以用交易機(jī)器人進(jìn)行欺詐性交易，或者阻止企業(yè)利用機(jī)器人來響應(yīng)客戶的關(guān)注、問題和請求。

對機(jī)器工人采取全面的生命周期管理方法

對非人類工人的生命周期采用端到端管理方法，可以確保組織在推動(dòng)數(shù)字化轉(zhuǎn)型的同時(shí)保護(hù)其IT環(huán)境。對于嘗試在內(nèi)部、混合和云基礎(chǔ)架構(gòu)上擴(kuò)展其運(yùn)營的組織而言，這是當(dāng)務(wù)之急。

實(shí)施機(jī)器工人生命周期方法之前，組織必須首先識別管理對象和資產(chǎn)。需要回答以下問題：

• 誰構(gòu)成了我的員工隊(duì)伍，除了員工，最終用戶和供應(yīng)商?
• 必須管理哪些物聯(lián)網(wǎng)設(shè)備?
• 正在使用哪些機(jī)器人?
• 哪些RPA正在用于管理重復(fù)性活動(dòng)?
• 需要監(jiān)視哪些服務(wù)賬戶?
• 是否必須遵守合規(guī)性要求?
• 如何跟蹤和管理賬戶和系統(tǒng)訪問?
• 是否有驗(yàn)證程序來驗(yàn)證機(jī)器工人的存在，以及如何使用與這些人類員工相關(guān)的身份和賬戶?
• 機(jī)器工人及其身份需要多長時(shí)間進(jìn)行審核和重新驗(yàn)證?

接下來，組織必須建立流程、程序和系統(tǒng)，以驗(yàn)證是否為所有機(jī)器工人正確分配了適當(dāng)?shù)脑L問權(quán)限。這要求組織：

• 識別賬戶和系統(tǒng)中的機(jī)器工人;
• 創(chuàng)建流程、程序和系統(tǒng)，以確保所有非人類工人及其相關(guān)身份得到密切監(jiān)控和管理;
• 避免使用特權(quán)組，因?yàn)槿绻袃?nèi)置共享權(quán)限的賬戶被放入組中會(huì)產(chǎn)生難以檢測的賬戶濫用情況;
• 進(jìn)行定期審核，了解如何、何時(shí)以及為何使用機(jī)器工人及其身份;
• 創(chuàng)建報(bào)告并定期審查，這樣可以確保將報(bào)告用于識別和解決異常的機(jī)器工人模式;
• 制定非人為的人工調(diào)配和下崗流程，這可減輕產(chǎn)生“孤兒”、未管理或過時(shí)非人工賬戶的風(fēng)險(xiǎn);
• 利用訪問權(quán)限管理軟件來確保正確設(shè)置非人工訪問權(quán)限并授予適當(dāng)?shù)臋?quán)限;

最后，組織必須在工人級別(而不是訪問級別)建立并維護(hù)所有非人類工人的權(quán)威記錄。該系統(tǒng)用作管理和監(jiān)視非人類工人生命周期的統(tǒng)一資源。此舉還能降低人為錯(cuò)誤、安全風(fēng)險(xiǎn)和合規(guī)性違規(guī)的風(fēng)險(xiǎn)。

結(jié)論

不可否認(rèn)，不知疲倦、不懼996的機(jī)器工人將創(chuàng)造巨大財(cái)富，而且在IT環(huán)境中廣泛應(yīng)用的趨勢不可阻擋。但是組織如何監(jiān)視和管理非人類工人的身份是關(guān)鍵問題。通過積極主動(dòng)的方法，組織可以持續(xù)監(jiān)視和管理其非人類工人的身份，提高運(yùn)營效率，并做好充分的準(zhǔn)備，以防止代價(jià)高昂的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件發(fā)生。

總之，今天的組織有充分的技術(shù)和方法可以輕松地管理非人類工人的身份生命周期，并根據(jù)需要進(jìn)行審核。通過類似零信任的框架，組織完全可以補(bǔ)上非人類員工生命周期的短板，確保僅在需要時(shí)才授予機(jī)器工人必要的訪問權(quán)限，就像對待人類員工一樣。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文