业界动态
企业安全的“暗网”:机器工人
2023-08-17 18:02

点击蓝字关注我们





安全牛评

当网络安全人士误入一家大型企业IT系统湿暗的后厨时,往往会感慨“别有洞天”。正如上周末登上娱乐头条的大连车务段,在运输生产电脑用盗版系统安装旧版本Flash。这其实是一种常见的“业务连续性压倒一切”的俄罗斯轮盘赌,如果每届管理者扣动扳机后赞扬其安全性,我们就认为它是安全的,来自安全部门的任何尝试缓解的建议都会是危险、愚蠢且徒劳的。这些比“删库跑路”和APT洋杀手还要凶猛十倍的“高级持续性威胁”,其实不是别人,正是我们自己制造的根深蒂固的企业“暗网”,如今最危险的“暗网漏洞”已经潜伏到每个企业的数字资产中,例如:机器工人。


自动化时代,当我们讨论与人的错误有关的网络安全时,我们讨论的可能只是网络安全的冰山一角。


随着企业向数字化、自动化、智能化的转型,非人类工人的数量正在快速增长。因为越来越多的全球企业在数字化转型计划,优先考虑云计算、DevOps、IoT设备和人工智能,这些技术需要大量非人类工人(我们姑且称之为机器工人,作为知识工人的对照)参与运营。


然而,组织通常仅将访问控制应用于人类(员工、承包商等),而对与非人类工人相关联的数据泄露、特权账户访问和网络攻击风险视而不见。


此外,当人类员工离职时,通常会有相应的安全流程撤消该员工对系统和数据的访问权限,消除离职员工仍然可以访问系统和数据的风险。


但是,机器员工却不必遵守这样的安全制度。对于许多企业和机构而言,退役的机器工人的访问权限往往保持不变。这就为网络罪犯提供了利用“孤儿账户”进行未经授权访问并发起网络攻击的机会。


显然,企业必须跟踪和管理非人类员工的生命周期。否则,网络罪犯会发起网络攻击,对整个组织造成破坏。


通过使用适当的方法来监视和管理非人类员工的生命周期,组织可以提高运营效率,减少攻击面,并预防与这些实体及其访问相关的网络攻击、数据泄露以及合规性问题。以下,是几种企业安全管理者需要关注的“机器工人”:


服务账号


服务账户通常在操作系统中用于执行应用程序或运行程序。它也可以用来在Unix和Linux上启动程序。服务账户属于特定的服务和应用程序,而不是最终用户。


常见的服务账户类型包括(其中包括):



服务账户管理不善是全球组织的主要问题。以下是最新的服务账户安全性报告中一些触目惊心的统计信息:



特别是RPA,无意间为人类和非人类工人创造了新的网络攻击面。用于RPA软件的机器人需要特权访问权限才能登录到ERP、CRM或其他业务系统以执行任务。因此,特权凭证通常直接被硬编码到机器人用来完成执行任务的脚本或流程规则中。


RPA机器人也可以从现成的商业应用程序配置文件或在其他不安全的位置检索凭据。同时,员工也可以共享数据库RPA凭据,因此这些凭据可以轻松地被多个员工重复使用。


如果RPA账户和凭据长时间保持不变,且没有得到适当的保护,则网络犯罪分子可以发起攻击窃取它们。一旦不法分子获得了这些账户和凭据,就可以提升权限并横向移动以访问企业的应用程序、数据和系统。


物联网


物联网设备使组织可以无线连接到网络并传输数据,无需人工或计算机干预。物联网技术的普及推动了自动化、生产力和效率的提高,并且对于包括金融服务、医疗保健、高等教育、制造业和零售业在内的众多行业的组织而言,物联网技术正变得越来越有价值。


业务数据可以存储在物联网设备上,并且这些设备还可以访问敏感的公司和个人数据,如果这些数据落入网络罪犯之手,则容易遭受数据泄露。物联网设备对于制造系统和安全系统的运行也至关重要,其身份和访问权限必须明确,以防无意中被禁用。


但物联网设备如果无法定期更新凭据,或者停用后没有撤销其账户凭证,则会带来网络攻击和数据泄露的风险。此外,如果物联网设备的虚拟助手遭到入侵,则网络罪犯可以检索该助手收集的信息。


聊天和交易机器人(bot)


聊天机器人使用AI以自然语言模拟与最终用户的对话。这种类型的机器人可以在网站、消息传递应用程序或移动应用程序上使用,并且可以促进机器与人之间的通信。


网络罪犯可以将聊天机器人变成“恶意机器人”,用来扫描企业网络以查找将来可能被利用的其他安全漏洞,还可以窃取组织的数据并将其用于恶意目的。恶意机器人还可以伪装成合法的人类用户,并获得对其他用户数据的访问权限。恶意机器人还可以被用来从公共资源和暗网上收集有关目标受害者的数据。


交易机器人能够代表人类客户在特定对话场景中进行交易。交易机器人通常只服务于一个特定目的,具备快速便捷地完成交易的能力,但无法理解对话之外的信息。


但是交易机器人同样也不能“免疫”黑客的网络攻击。如果交易机器人被网络罪犯入侵,会被用来收集客户数据。不法分子还可以用交易机器人进行欺诈**易,或者阻止企业利用机器人来响应客户的关注、问题和请求。


对机器工人采取全面的生命周期管理方法


对非人类工人的生命周期采用端到端管理方法,可以确保组织在推动数字化转型的同时保护其IT环境。对于尝试在内部、混合和云基础架构上扩展其运营的组织而言,这是当务之急。


实施机器工人生命周期方法之前,组织必须首先识别管理对象和资产。需要回答以下问题:



接下来,组织必须建立流程、程序和系统,以验证是否为所有机器工人正确分配了适当的访问权限。这要求组织:



结论


不可否认,不知疲倦、不惧996的机器工人将创造巨大财富,而且在IT环境中广泛应用的趋势不可阻挡。但是组织如何监视和管理非人类工人的身份是关键问题。通过积极主动的方法,组织可以持续监视和管理其非人类工人的身份,提高运营效率,并做好充分的准备,以防止代价高昂的网络攻击和数据泄露事件发生。


总之,今天的组织有充分的技术和方法可以轻松地管理非人类工人的身份生命周期,并根据需要进行审核。通过类似零信任的框架,组织完全可以补上非人类员工生命周期的短板,确保仅在需要时才授予机器工人必要的访问权限,就像对待人类员工一样。

    以上就是本篇文章【企业安全的“暗网”:机器工人】的全部内容了,欢迎阅览 ! 文章地址:http://lanlanwork.gawce.com/news/3327.html 
     资讯      企业新闻      行情      企业黄页      同类资讯      首页      网站地图      返回首页 阁恬下移动站 http://lanlanwork.gawce.com/mobile/ , 查看更多   
最新新闻
福州百度推广价格,透明与策略的平衡
在当今数字化的商业时代,百度推广已成为众多企业在福州拓展市场的重要手段之一,对于许多企业主来说,福州百度推广价格往往是一
百度营销平台手机版 v7.6.4 安卓版
百度营销app是由百度推出的数据营销助手。使用百度营销,可以实时跟踪账户下多条产品线数据实时监控,搜索查看推广宣传内容,调
在百度推广自己的产品赚钱,知乎视角的深入分析与实践指南
在当今数字化的商业时代,百度推广已成为众多企业和个人推广产品、获取收益的重要手段之一,究竟怎样在百度推广自己的产品并赚钱
百度死了吗
(图片来源:全景视觉)陈永伟/文 1月22日晚间,自媒体人方可成在微信公众号“新闻实验室”发布了一篇题为《搜索引擎百度已死》
百度竞价推广落地页怎么设计?设计原则+技巧,看这一篇就够了
9月12日(下周二)【竞价公开课】点击免费预约!百度竞价推广落地页怎么设计,才能最大限度地促成转化呢?作为促成转化(购买)的最
百度地图商家入驻费用
2024年01月14日吴经理100地图标注 , 地图定位 , 导航地图标记网络技术服务;信息技术咨询服务;技术服务、技术开发、技术咨询、
发布需求的平台★容易收录-欢迎发文合作,发帖百度可以收录的内容
尊敬的客户,您好!我们是北京一家专注互联网技术服务公司,可以提供收录效果好,文章排名好的网站进行发文,发得多,各种关键词
百度推广要多少费用?是如何收费的?
~ 随着网络的广泛普及,用户对搜索引擎的依赖和信任度不断上升。百度作为互联网的主要入口,拥有庞大的流量,成为网民获取信息的
百度百科词条创建入口地址
很多人都想自己创建百度百科,但是不知道从哪儿创建。百度百科是大家都可以创建的,但是又不是都能创建成功的,需要有丰富的经验
百度怎么创建词条 创建流程和常见问题
在信息爆炸的时代,百度百科作为全球最大的中文网络百科全书,不仅是知识分享的重要平台,也是个人、企业品牌建立权威形象的有效