很多企业在做安全培训时都会强调不能把账号密码交给别人,但总有人觉得同事之间帮个忙不是什么大问题。我处理过的一起安全事件就和这种现象直接相关。那是一家做教育培训的公司,他们的教务管理系统里存有大量学员的个人信息、成绩记录和课程进度。有一天,系统后台突然出现大量异常查询行为,一个HR账号在深夜时间段访问了上万条学员数据。安全团队锁定这个账号后发现,账号所有者是公司人力资源部的一位同事小王。但小王当天晚上根本没有在公司加班,他发现自己的账号被人异地登录后也吓得不轻。经过详细调查,事情的原委是这样的:小王之前把自己在公司内网的账号和密码告诉过另一个部门的同事小李,说是为了方便小李临时查一些员工信息。小李用完倒是没有恶意使用,但小李有一次在公共场合连接不安全WiFi时,电脑中了木马,黑客把这个存有账号密码的文档一并窃取了。黑客拿到公司内网的账号密码后,没有马上动手,而是观察了一段时间,确认这个账号确实可以正常登录内网系统后,才在深夜进行了大范围的数据库查询操作。这个案例最尴尬的地方在于,泄密的起点的确是一个看似无害的小事。小王觉得大家都是同事,帮个忙没什么问题,但他完全没意识到这种做法会给公司带来多大的安全风险。
从风险角度看,账号共享是一个存在多年且很难彻底根除的内部安全隐患。很多人共享账号后没有意识到,一旦发生安全问题,追溯起来会非常困难。公司内部安全日志只能追溯到账号层面,如果当时那个账号同时被小王和小李在不同地点登录,系统也没有检测到异地的异常登录行为,那么攻击者用这个账号在内网活动,小王小李两个人都有可能被当成嫌疑人。共享账号还会使公司的安全策略形同虚设。企业投入大量资源部署的访问控制、权限最小化、操作审计等机制,遇到账号共享就会全部失效。攻击者只需要获取一个普通员工的账号,就可以在内网横向移动,甚至利用"内部人员已授权"的身份绕过很多安全检测规则。
针对这个问题,除了在安全培训中反复强调不让共享账号外,企业还可以从技术层面做一些预防。第一,开启多因素认证,要求员工在登录内网时除了密码还要输入短信验证码或使用认证App动态码,共享密码就失去了意义。第二,对异常登录行为进行实时监控,比如同一账号在同一时间点从不同IP地址登录、深夜不正常的数据库操作行为等,系统一旦发现就立即锁定账号并通知安全管理员。第三,建立完善的操作审计体系,对所有关键系统的数据查询、导出、修改操作进行留痕。即使账号共享已经发生,事后也能快速定位到具体的时间点和操作内容,有助于缩小损失范围。安全体系的设计思路应该是在信任员工的基础上,不对任何人的账号做绝对的信任。所谓零信任,本质上就是在每时每刻都验证每一个访问请求的合法性。
