查看原文
其他

非活跃账户:随时可能引爆的“不定时炸弹”

管窥蠡测 安在 2023-07-04







近日,谷歌宣布从 2023 年 12 月开始,它将删除那些已经两年没有活跃过的个人账户。作为该政策的一部分,在非活跃账户上的照片、电子邮件和文档都将被抹除。此前,推特也发布了类似的声明,表示将注销多年不活跃的账户。


这些公司表示,新政策是为了提高安全性,因为旧账户更容易受到黑客攻击,而且旧账户中很多都没有启用双重身份验证,只是使用了简单的密码,因此这会给企业带来安全风险。


尽管谷歌称安全问题是其推进新政策的主要原因,但相关专家推测,成本负担也是其原因之一。国外某安全专家表示,尽管企业的数据存储成本在过去十年间下降了约 90%,但让科技公司无限期地托管所有用户的数据是强人所难的。


“随着数据量呈指数级增长,我们每天需要储存的东西越来越多。因此,数据存储成本、数据资产保护成本,以及为存储数据设备供电的环境成本,都是企业在经营和运维上不得不面对的问题。同时,无限期保存数据也会为网络罪犯提供更大的‘攻击面’,比如在谷歌的生态中,黑产团队会使用他们掌握的休眠账号来大规模发送垃圾邮件,这已经是一件公开的事实。”




01
国外相关报道


可见,活跃、未维护的账户会给用户和企业带来了重大的安全风险。网络犯罪分子善于利用这些被遗忘或未被维护的账户,他们能从此类账户中窃取信息,甚至非法登录,然后再通过此类账户去影响其他活跃账户,比如像国外安全专家所说的那样,乱发垃圾邮件或钓鱼邮件。这些事实是根据Okta的第一份客户身份趋势报告得出的,该报告调查了14个国家2万多名消费者,其中包括了受访者对数字安全和身份认知等方面的体验和态度。

研究发现,多年来未被使用的账户,尤其是那些密码简单而且从未进行过安全审查的账户,它们会带来所谓的“身份蔓延”,而在这方面的加剧可能会引发重大的账户接管(ATO)安全风险。国外安全专家Michael Hill表示,任何服务的漏洞都可能为攻击者提供大量的用户凭据和相关的个人数据,攻击者善于大规模使用这些信息来危害重要商业账户,以及平台上其他的活跃账户。

所以,在该报告发布之前,谷歌就宣布将其谷歌账户的非活动政策更新为两年,这意味着如果个人账户在两年内没有被使用或登录,谷歌将删除该账户和账户下所有的内容,包括谷歌工作区(Gmail、Docs、Drive、Meet、Calendar)和所有相关的谷歌照片,新规定将于2023年12月生效。



02
无脑账户新建是非活跃账户风险的促成因素


Michael Hill说,由于互联网的飞速发展,数字世界正在重建人们的生活,大量的APP和应用正涌进我们的社会,这就意味着建立新账户开始变得“无脑”。比如去了某个旅游胜地,那些此生再难驻足的小店会邀请你下载APP并注册新账户,再比如某些不常用但需要用到的应用,由于忘了当初的账户或密码,人们很可能重新注册。因此,这就导致了账户越积越多,因为这些所谓的旧账户不会被删除,它们只会被闲置或遗忘。

据Okta的报告显示,这样子的账户激增在年轻用户中最为普遍,而近几年,其他年龄段的账户激增也有了明显提升。据统计,18至29岁的年轻人在过去三个月内,平均注册的新账户数量超过了40个,30至39岁人群此数值为35个,40至49岁人群此数值为34个,而60岁及以上人群平均新建账户数为20个。
报告称,对部分用户来说,密码管理似乎是一个症结所在。63%的受访者表示,他们之所以会重新申请账户,是因为他们每个月至少忘记一次用户名或密码,以至于无法登录账户。虽然密码重置机制有一定的作用,但若连用户名都忘了又该怎么操作?再者,重新申请账户对用户来说似乎更为简便,也更能弥补当初自己所疏忽的自定义设置,所以大多数人认为密码重置这个过程根本不值得做,从而导致了更多的账户处于非活动状态。相比之下,只有52%的受访者表示,他们时不时会访问自己名下所有账户,而只有42%的人会对每个账户都使用不同的密码,其中只有29%的人会定期查看/更改账户隐私设置。

Michael Hill指出,账户流失的另一个重大挑战,是能够安全地管理和维护大量账户的数字足迹。Okta的报告发现,71%的受访者能意识到他们在线上活动时所留下的数据痕迹,但只有44%的人会采取措施缓解这种情况,比如时时清理浏览数据、cookie、密码信息、网页表单信息等,不要让重复性行为被网页或APP所记录,特别是和账户、密码、口令相关的内容。



03
非活动账户不具备多因素身份验证


谷歌表示,长期未被访问的非活跃账户更有可能被泄露。该公司相关人员曾表示:“这是因为被遗忘的账户通常只具备简单的密码,这些密码很容易被泄露,也可能是某些人常常会重复使用的密码,相比于其他账户,最主要的问题是,这些缺乏管理的账户没有设置双因素(2FA)身份验证,因此一旦被知晓密码就能立刻窃取,也就是说这些账户不具备相关的安全检查,完全就是不法分子的囊中之物。”

所谓多因素身份验证,这是一种计算机访问控制的方法,用户要通过两种以上的认证机制之后,才能得到授权,使用计算机资源,而双因素身份验证就是使用两种认证机制。例如,用户要输入PIN码,插入银行卡,最后再经指纹比对,通过这三种认证方式才能获得授权。这种认证方式称为多因素身份验证,可以极大地提高安全性。


谷歌表示,由于废弃账户不具备2FA的操作保障,因此这些账户特别容易被攻击者利用,攻击者可以利用账户进行身份盗窃,同时发送各种垃圾邮件、钓鱼邮件,而最简单的莫过于利用身份进行诈骗,配合当下最热的AI技术,可以完美复刻全新的你我,这些对个人和社会来说都是极大的安全隐患。



04
犯罪分子正优先考虑被盗凭据


根据Verizon 2022数据泄露调查报告,超过80%的网络应用程序攻击可归因于凭据被盗。网络犯罪分子正在优先考虑这些被盗凭据,这是因为被盗凭据可以增强攻击并绕过安全措施。报告显示,攻击者的意愿也正逐渐从恶意软件转向了凭据滥用,研究发现,这可以提升攻击者在受害者环境中的访问和持久性。同时,这一趋势也对访问代理服务产生了明显的需求,即大量犯罪集团开始销售被盗访问凭据。根据《CrowdStrike 2023全球威胁报告》,与2021年相比,去年发现的访问中介服务广告同比增长112%,在地下犯罪中类似于这样的广告有2500多个。

同时,另一份基于身份安全的调查报告也佐证了这一点。根据身份安全公司One Identity最近进行的一项调研显示,在过去的一年当中(调研时间为2022年10月),十分之九的企业遭受了基于身份的攻击,近70%的公司遭受了网络钓鱼攻击,近40%的企业存在凭据被盗用。



05
延伸之下的身份安全


Michael Hill表示,很显然,非活跃账户背后所能联想到最大的安全问题就是身份安全问题,因为账户的核心内容就是数据和身份。在One Identity的这份报告中显示,96%的公司正使用多种身份管理工具,其中41%的公司部署了至少25种不同的系统来管理访问权限,然而,70%的公司明确表示,他们正在为他们没有积极使用的身份工具付费,这种分散的投资直接影响其整体安全状况。

 
除此之外,调研报告还披露了以下观点:
 


1、89%的受访者所在企业在过去12个月中受到了基于身份的攻击;


2、80%的受访者认为,更好的身份管理工具可以防止此类攻击的影响;


3、96%的公司报告使用多种身份管理工具,70%的公司报告他们正在为不积极使用的身份工具付费;


4、54%的受访者认为,统一的身份访问和身份管理平台将有利于其组织的身份管理战略。
报告认为,公司已经获得了多种身份工具来应对数字身份的激增,从而形成了身份蔓延,这一定程度地削弱了他们的网络安全态势。此次调研有超过一半的公司(52%)管理超过10,000个身份,其中包括授予员工、设备、机器、数字身份和客户的访问权限。对于部分地区的企业,通常是那些数字化程度发展速度更快的地区,他们企业当中管理的身份在过去两年中增加了一倍多。

Michael Hill指出,企业在使用传统的身份和访问管理方法,这也导致企业采用多种身份解决方案,而这些方案和工具之间缺乏互操作性,这将对业务和安全产生直接影响。而身份安全企业One Identity认为,通过将安全专业人员的思维方式从不同的、基于工具的方法转变为平台方法,企业可以改善其身份安全防御,以抵御现代威胁形势。



06
国内安全专家的建议


对于该如何管理非活跃账户和身份权限,国内安全专家如此建议。

知乎安全专家“KaitouLee”表示,非活跃账户是企业网络安全中的一个潜在风险。这些账户通常是指已经存在但已被废弃或未使用过一段时间的账户,如果不及时管理,则会给企业带来以下几个方面的网络风险:

1、安全漏洞。非活跃账户可能会成为网络攻击者的入口,从而导致企业遭受数据泄露、网络瘫痪等安全问题。攻击者可以利用这些未使用的账户进行身份欺骗、恶意软件传播或其他攻击行为,因此必须对这些账户进行有效的管理和监控。

2、管理困难。过多的非活跃账户将使企业管理员很难对所有账户进行有效管理。此外,由于这些账户未被使用,其权限等信息可能已经过时,使得管理员无法及时更新和回收这些账户,从而增加了管理的难度和复杂性。

3、资源浪费。未使用的账户可能会占用企业的 IT 资源,如存储空间、网络带宽等,从而浪费企业的资源和资金。同时,这些账户也可能会在系统运行时占用 CPU 和内存资源,影响系统的整体性能和稳定性。

4、不符合合规要求。一些行业或法规对账户管理提出了明确的要求,例如 PCI DSS、HIPAA 等。这些合规要求通常规定了必须对所有账户进行有效管理,并及时更新和回收不再使用的账户。如果企业无法满足这些要求,可能会面临罚款、处罚等问题。


而为了有效应对这些风险,“kaitouLee”建议企业实施以下措施:

1、制定和执行账户管理策略。根据企业的安全需求和合规要求,制定相应的账户管理策略,并将其纳入企业的安全管理框架中。此外,在制定策略时,应考虑到账户的生命周期、权限管理、监控和审计等方面,以确保对账户进行有效管理。

2、定期检查和清理非活跃账户。定期检查和清理非活跃账户,并及时禁用或删除那些未被使用的账户。此外,应对账户进行分类,以便更好地识别哪些账户是可以安全删除的,哪些是需要归档保存的。

3、合规性检查和监督。定期进行合规性检查和监督,确保企业的账户管理策略和操作符合相关法规和标准的要求。此外,也应定期对账户管理进行审计和监督,以发现和纠正不当操作或异常活动。

综上所述,非活跃账户可能会给企业带来许多安全风险,因此必须采取适当的措施加以管理。企业应该制定并执行有效的账户管理策略,并及时检查和清理未使用的账户,以确保企业的网络安全性和合规性。
某电商公司安全专家杨文斌指出,账户是企业最直接的风险入口,也是攻击成本最低的攻击手段。一般存在风险的非活跃或未维护账户有以下场景:

1、企业高层开通的特权账号,因对系统某次展示效果或功能查看,需要给企业高层开通高权限的特权账户,此类临时性的账号权限无法及时回收,易被攻击利用,破坏性极强。

2、运维人员开通的维护账号,因运维权限变更或者角色调整,而原有的账号权限未及时调整,造成权限蠕变。运维账户往往权限较大,如果被恶意利用,影响严重。

3、第三方供应商开通的临时排障账号,供应商系统出现问题时为了快速修复,往往开通远程排障账号。故障解决后如果不及时删除很容易造成潜在的供应链攻击。

4、因账号管理流程的缺失,导致各种场景下非活跃或未维护的账户无法得到有效管理,给企业带来的潜在隐患非常严重,务必引起重视。

同时,作为安全从业人员,杨文斌提出以下几点建议:

1、强化企业内部员工安全意识,强调账户管理的重要性。

2、建立账号管理流程,构建自动化账号管理平台,对账号的全生命周期加以闭环管控。

3、定期净化历史遗留僵尸账号,明确账号权限和期限。

某A+H股上市公司信息安全负责人孙琦表示,服务商主动调整非活跃账号的行为本身是值得肯定的,从安全的角度出发这是一项积极的行为,但需要特别注意的是对于被调整账号和其持有人的充分告知。“其次,我们的安全从业人员应该把定期清理非活跃账号的行为作为一项持续性的日常重要工作,相比较其可能产生的影响,它所带来的安全水平提升是立竿见影的有效的。”
中科氢焱CDO/CSO曾永红表示,非活跃、未维护的账户,俗称僵尸账户,用户不常来使用,或自动注册的应用账户等,可能在特定情况下再激活使用,然而不管出于什么原因,账户达到一定期限时间不使用,就可能存在账户被冒用,被破解的风险。同时,这些账户沉淀到用户数据库,也会增加大量的存储成本,同步成本等等。
同比国内,曾永红建议,企业需定好安全运营策略,达到一定的时间,例如半年、一年时,就需采用更严格的激活策略,甚至超出年限,采用禁用、删除账户等实施手段。“我们要知道的是,各种不删除过期用户账户的懒政,甚至纵容虚假账户的存在,以其作为噱头,这些都是不可取的。当然,安全取决于业务的需要,安全和发展两手都要抓,这是永不过时的理念。”


参考资料:

《Inactive accounts pose significant account takeover security risks》


《身份安全现状:数字身份泛滥 针对性攻击广泛存在》


END








点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存