账号权限问题导致数据泄露频发,如何破解“万豪们”的安全难题?
2020开年真是不算太平,除了现实世界里新冠病毒疫情爆发、沙特石油大战,赛博世界里也出现了大规模数据泄露事件,万豪酒店520万用户数据再遭泄露。该漏洞始于2020年1月中旬,2020年2月底被发现。对本来就处于复工复产初期不算景气的酒店业,也算是雪上加霜。
据悉,本次导致数据泄露的原因是通过万豪第三方特许经营酒店中两名员工的登录账号访问了大量敏感数据造成的。对比上次, 2014年起即存在第三方账号对喜达屋网络未经授权的访问,但公司直到2018年9月才第一次收到警报,今年同样的戏码再次上演。由此可以看出,对身份账号权限管理的重要性。
1. 企业账号体系日趋复杂 安全隐患增多
酒店管理系统比较复杂,通常涉及大量第三方参与系统开发与运维支持,并且存在大量的第三方接口,比如去哪儿、携程等APP都会通过API接口与酒店数据库连接,个人用户通过这些第三方APP预定房间时会更新同一个数据源。同时,酒旅行业中拥有大量的保洁员、IT工程师、维修师傅、外包等,人员构成复杂,为了方便开展工作,这些人员都有接入公司内网的账号权限。
传统的身份识别与访问管理(IAM)产品主要是围绕HR体系,通过管好自己的员工账户,并把这些账户的使用范围控制在办公室内,来防止数据泄露事件发生。但是类似酒旅、快递、零售等行业中的企业或者大型集团性企业中人员构成复杂,导致账号体系也异常复杂,再加上越来越多的个人终端设备接入内网、远程办公的火热,传统IAM产品就显得力不从心。
一方面账号权限管理不灵活,比如,一个外包员工离职,企业HR体系未必及时更新,该账号权限会依然保留,这样一个非法账户就留下了,潜在安全隐患产生。
另一方面无法及时发现账号行为异常,防止“内鬼作案”。比如,一个由于临时业务需求被赋予了高等级权限的账号突然开始访问不应该访问的数据库,这就是异常行为,需要及时阻止,否则就容易出现数据泄露事件。
目前越来越多由账号管理问题导致的安全事件频繁发生。而任何一次信息泄露事件,对企业带来的不仅是经济上的损失,更是对企业商誉的破坏。上次万豪数据泄露被GDPR处以9,900万英镑的罚款,是迄今为止最高的数据泄露罚款之一。
2. 以UEBA为核心的统一身份认证服务是必然趋势
统一身份认证服务是通过统一的身份认证服务中台,做到对所有企业账号权限的一站式生命周期管理,比如,员工入职时可以一键开通账号权限,离职时一键删除在企业内的所有账号权限,为外包员工申请的短期或临时账号权限过期后被自动收回,等等。通过这些最佳实践,可以确保企业的账户权限都是受控的。
UEBA,即用户行为分析,即对员工账号权限做统一管理后,还需要实时检测和发现账号的异常行为,不仅保障使用该账号的人是真正拥有该账号的人,而且保障该账号所做的操作在其正常职责范围内,一旦发现异常及时告警并阻断危险行为,这也是UEBA越来越被企业接受和认可的原因所在。
UEBA动态防御
阿里云提供的统一身份认证服务IDaaS(IDentity as a Service),可以基于云原生安全能力,将每个用户账号在网络、操作系统、中间件、应用等方面产出的行为日志汇集,通过 AI算法进行分析, 形成每个用户正常行为的安全基线,即用户行为画像,从而当某个用户账号出现异常行时,比如平时不访问数据库的账号访问数据库并做出拖库操作,或者一个用户突然在一段时间内频繁的访问敏感信息,IDaaS会立即做出阻断,或通过钉钉告知到管理员,做到自动防御为主,人工干预为辅,降低人工成本的同时,大大提升了安全事件自动响应速度,将企业安全水位拉升到一个新高度。
借助IDaaS,企业可以轻松判断每个账号背后所代表的“你是否是你,并且你的行为是否合理”。在此次万豪数据泄露事件中,正是由于第三方特许经营酒店中两名员工登录账号被不合理使用导致的数据泄露。抛开账户是否合法不说,显然对用户账号行为的监控也是缺少的。
除了酒旅行业,以UEBA为核心的统一身份认证能力同样适用于快递、零售行业中网点众多、人员分散的办公场景。在这类企业组织架构中,任何一个边缘账号被盗用,或做了未经授权的访问,都有可能导致大量消费者信息泄露。所以保障每个用户访问系统的账号安全,不使用弱密码,不多人共享账号,及时发现每个用户账号访问行为异常,至关重要。
账号权限问题导致数据泄露频发,如何破解“万豪们”的安全难题?相关推荐
- 数说IN语丨万豪酒店再敲警钟!防数据泄露,数博士有妙招!
移动互联时代给了人们极大的便利性,同时,也把尚未做好准备的我们,不加分说地拉入了一个"数据透明"时代."数据透明"时代意味着什么?新近的案例,就是万豪数据泄露门 ...
- 百度ToB垂类账号权限平台的设计与实践
全文8000字,预计阅读时间18分钟 一.前言 百度 ToB 垂类账号权限平台( 以下简称平台 ),是专注于为百度 ToB 垂类各产品线提供通用账号权限服务的基础平台,所提供的服务涵盖了租户管理.账号 ...
- linux账号权限的一些总结
linux账号权限分配 一.创建只读用户 先创建一个用户 把它的家目录创建出来 修改属主以及它的权限 修改他的.bash_profile 设置密码 把允许它使用的命令软连接到他的.bin下 切换用户测 ...
- Linux账号权限分离的必要性
Linux账号权限分离的必要性 <Linux一线运维实战>清华大学出版社,即将出版 在整个运维规范/体系中,它所涉及到往往包括内部和外部的环境统一规划管理. 由于在系统开发过程中要经过不断 ...
- Jenkins遇到问题一:jenkins配置权限不对导致无法登陆或者空白页面解决办法
Jenkins遇到问题一:jenkins配置权限不对导致无法登陆或者空白页面解决办法 参考文章: (1)Jenkins遇到问题一:jenkins配置权限不对导致无法登陆或者空白页面解决办法 (2)ht ...
- [异常解决] 安卓6.0权限问题导致老蓝牙程序出现异常解决办法:Need ACCESS_COARSE_LOCATION or ACCESS_FINE_LOCATION permission...
[异常解决] 安卓6.0权限问题导致老蓝牙程序出现异常解决办法:Need ACCESS_COARSE_LOCATION or ACCESS_FINE_LOCATION permission... 参考 ...
- 川渝严重高温伏旱根源:全球气候变暖导致灾情频发
川渝严重高温伏旱根源:全球气候变暖导致灾情频发 国家气候中心专家分析认为,重庆.四川等地都属于气候变化的敏感区.高温干旱的易发区.重庆更是我国长江流域著名的"火炉",为我国高温伏旱 ...
- CRM管理系统、教育后台、赠品管理、优惠管理、预约管理、试听课、教师、学生、客户、学员、商品管理、科目、优惠券、完课回访、客户管理系统、收费、退费、回访、账号权限、订单流水、审批、转账、rp原型
CRM管理系统.教育后台.赠品管理.优惠管理.预约管理.试听课.教师.学生.客户.学员.商品管理.科目.优惠券.完课回访.客户管理系统.收费.退费.回访.账号权限.订单流水.Axure原型.rp原型 ...
- grid赋予oracle磁盘权限,grid 与 Oracle 用户下 Oracle 程序权限不一致导致无法连接 ASM 问题...
grid 与 Oracle 用户下 Oracle 程序权限不一致导致无法连接 ASM 问题 在 RAC 中, 启动数据库时遇到如下报错:Oracleinstance started. TotalSys ...
- 从政府项目中总结出的B端产品账号权限管理
工作原因做了一个政府机构的产品,里面涉及账号权限管理,通过做这个项目,总结了一下关于B端产品的账号权限管理方法. 客户需求是建设一个完成政府某些业务流程的一个产品,包括App和Web端, 要求不同单位 ...
最新文章
- 查看历史操作记录_燕麦课堂丨操作日志管理,为企业数据安全保驾护航
- arcalet云服务平台支持Unity3D开发实时多人联机游戏
- 给thinkphp3.2用上composer
- mysql字符集设置_mysql字符集设置
- 优秀学生专栏——李浩然
- realme真我GT2系列节后登场:出厂自带realme UI 3.0正式版
- 小米宣布将停止MIUI全球Beta测试计划
- 简单的读取文件和写入文件
- Git:clean的用法
- 【学习笔记】WAMP
- 静态的通讯录(C语言)
- springboot项目启动类报错
- vue获取麦克风_HTML5操作麦克风获取音频数据(WAV)的一些基础技能
- 请问ECSHOP首页站内快讯在哪里添加和修改?
- Ubuntu 20.04 更新软件依赖,源 ,删除软件三个常用指令
- 2020年2月15日 考试【更新中】
- 不靠广告联盟也能月赚万元
- Hadoop总结——Hadoop基础
- 迪拜“烧掉800亿”造了座烂尾岛,奇葩建筑惊呆网友:有钱人的世界,我不懂!
- 李一男/任正非,港湾/华为