通过管理非人类员工的生命周期来最大程度地减少网络攻击

非人类工人的数量正在增长,特别是随着全球组织越来越优先考虑云计算,DevOps,IoT设备和其他 数字化转型计划。然而,尽管网络攻击和与非人类工人相关的数据泄露以及他们对敏感信息的特权访问相关联的风险,组织通常仅将访问控制应用于人类(员工,承包商等)。

生命周期方法

此外,当工作人员离开组织时,组织通常会设置流程来撤消该员工对系统和数据的访问,从而消除了仍然可以访问这些系统和数据的风险。

但是,当不再需要非人类工人时会发生什么呢?对于许多组织而言,通常是非人类工人’的访问权限保持不变。这为网络罪犯提供了利用孤立帐户进行未经授权访问并发起网络攻击的机会。

组织必须跟踪和管理非人类员工的生命周期方法。否则,网络罪犯会发起网络攻击,对整个组织造成破坏。

通过使用适当的方法来监视和管理非人类员工的生命周期,组织可以提高运营效率,同时减少攻击面并阻止与这些实体及其访问相关的网络攻击,数据泄露以及合规性问题。

服务帐号

服务帐户通常在操作系统中用于执行应用程序或运行程序。它也可以用来在Unix和Linux上启动程序。服务帐户属于特定的服务和应用程序,而不是最终用户。

常见的服务帐户类型包括(其中包括):

  • 管理(例如,提供对本地主机或实例或跨指定域的所有工作站和服务器的访问)
  • 应用程序(例如,允许应用程序访问数据库,执行批处理作业,运行脚本以及访问其他应用程序)
  • 非交互式(例如,用于系统进程或服务的交互式程序,例如运行用于调度任务的自动脚本)
  • 机器人过程自动化( RPA )(例如,使最终用户能够配置计算机软件(也称为a“robot,”模拟和整合使用数字系统执行业务流程中涉及的人为行动)

服务帐户管理不善是全球组织的主要问题。考虑来自最近服务帐户安全性的以下统计信息 报告 :73%的组织在将应用程序移至生产环境之前未审核,删除或修改默认服务帐户; 70%的人无法完全找到其帐户,40%的人未尝试找到这些帐户;和20%的用户从未更改过帐户密码。

特别是RPA,无意间为人类和非人类工人创造了新的网络攻击面。用于RPA软件的机器人需要特权访问权限才能登录到ERP,CRM或其他业务系统以执行任务。因此,特权凭证通常直接硬编码到机器人用来完成这些任务的基于脚本或基于规则的过程中。

或者,RPA漫游器脚本可以从现成的商用()应用程序配置文件或其他不安全的位置。同时,员工可以共享数据库RPA凭据,因此这些凭据可以轻松地被多个员工重复使用。

如果RPA帐户和凭据长时间保持不变并且没有得到适当的保护,则网络犯罪分子可以发起攻击以窃取它们。一旦网络罪犯获得了这些帐户和凭据,他们就可以使用它们来提升特权并横向移动以访问组织的应用程序,数据和系统。

物联网

物联网设备使组织可以无线连接到网络并传输数据,而无需人工或计算机干预。它们推动了自动化,生产力和效率的提高,并且对于包括金融服务,医疗保健,高等教育,制造业和零售业在内的众多行业的组织而言,它们变得越来越有价值。

业务数据可以存储在IoT设备上,并且这些设备还可以访问敏感的公司和个人数据,如果这些数据落入网络罪犯之手,则容易遭受数据泄露。物联网设备对于制造机械和安全系统的运行也至关重要,并且必须知道其身份和访问权限,因此不会无意中禁用它们。

还有 物联网设备的风险 一旦不再需要非人力资源,凭据就不会定期更新或吊销,这会使它们容易受到网络攻击和数据泄露的影响。另外,如果是物联网设备’虚拟助手的安全受到威胁,该助手收集的信息可以被网络犯罪分子检索。

机器人:聊天和交易

聊天机器人使用AI以自然语言模拟与最终用户的对话。这种类型的机器人可以在网站,消息传递应用程序或移动应用程序上使用,并且可以促进机器与人之间的通信。

网络犯罪分子可以将聊天机器人转变为“evil 机器人 ”并用它来扫描组织’s network for other security vulnerabilities that could be exploited at a future date. With an 邪恶的机器人 at their disposal, 网络罪犯 can steal an organization’s data and use it for malicious purposes. An 邪恶的机器人 can also disguise itself as a legitimate human user and gain access to another user’的数据。随着时间的流逝,该机器人可以被用来从公共资源和暗网上收集有关目标受害者的数据。

交易机器人代表人类,让客户在对话中进行交易。机器人无法在对话之外理解信息–取而代之的是,该漫游器用于一个特定的目的,它为客户提供了快速便捷地完成交易的能力。

交易机器人同样也不是防黑客的。如果网络罪犯访问交易机器人,他们可以使用它来收集客户数据。他们还可以使用漫游器进行欺诈性交易,或者阻止组织利用漫游器来响应客户的关注,问题和请求。

对非人类工人采取全面的生命周期方法

对非人类工人的生命周期采用端到端方法,可以确保组织可以同时推动数字化转型并保护其IT环境。对于试图在内部,混合和云基础架构上扩展其运营的组织而言,当务之急。

为了确保与非人工相关的生命周期方法,组织必须首先识别它们。这需要组织考虑:

  • 谁构成了我的员工队伍,包括员工,最终用户和供应商?
  • 必须管理哪些物联网设备?
  • 正在使用哪些机器人?
  • 哪些RPA用于管理重复性活动?
  • 需要监视哪些服务帐户?
  • 是否必须遵守合规性要求?
  • 如何跟踪和管理帐户和系统访问?
  • 是否有验证程序来验证非人工工人的存在,以及如何使用与这些人工工人相关的身份和帐户?
  • 非人类工人及其身份需要多长时间进行审核和重新验证?

接下来,组织必须建立流程,过程和系统,以验证是否为所有非人工人员正确分配了适当的访问权限。这要求组织:

  • 识别帐户和系统的非人工工人
  • 创建流程,程序和系统,以确保所有非人类工人及其相关身份得到密切监控和管理
  • 避免使用特权组,因为可能难以检测到帐户滥用情况(如果帐户具有内置的共享特权而被放入组中)
  • 进行定期审核,以了解如何,何时以及为何使用非人类工人及其身份
  • 创建报告并定期审查;这样可以确保将报告用于识别和解决异常的非人类工人模式
  • 制定非人工配置和 离船过程;这可减轻孤立,未管理和过时的非人工帐户的风险
  • 利用访问权限管理软件来确保正确设置非人工访问权限并授予适当的权限

最后,组织必须在工人级别(而不是访问级别)建立并维护所有非人类工人的权威记录。该系统用作管理和监视非人类工人生命周期的统一资源。它还降低了人为错误,安全风险和合规性违规的风险。

结论

毫无疑问,非人类工人会提供价值,并且只会继续在整个IT环境中被广泛采用。但是组织如何监视和管理非人类工人身份是关键。通过积极主动的方法,组织可以连续地监视和管理其非人类工人的身份,提高运营效率,并做好充分的准备,以防止昂贵的网络攻击和数据泄露发生。

此外,组织可以轻松地管理密钥 身份生命周期 非人类工人的阶段,并根据需要进行审核。最重要的是,该组织可以缩小非人类员工生命周期的差距,并确保仅在需要时才授予特权访问,然后在不再需要时立即将其删除-毫无例外。

分享这个