非活跃账户:随时可能引爆的“不定时炸弹”
近日,谷歌宣布从 2023 年 12 月开始,它将删除那些已经两年没有活跃过的个人账户。作为该政策的一部分,在非活跃账户上的照片、电子邮件和文档都将被抹除。此前,推特也发布了类似的声明,表示将注销多年不活跃的账户。
这些公司表示,新政策是为了提高安全性,因为旧账户更容易受到黑客攻击,而且旧账户中很多都没有启用双重身份验证,只是使用了简单的密码,因此这会给企业带来安全风险。
尽管谷歌称安全问题是其推进新政策的主要原因,但相关专家推测,成本负担也是其原因之一。国外某安全专家表示,尽管企业的数据存储成本在过去十年间下降了约 90%,但让科技公司无限期地托管所有用户的数据是强人所难的。
“随着数据量呈指数级增长,我们每天需要储存的东西越来越多。因此,数据存储成本、数据资产保护成本,以及为存储数据设备供电的环境成本,都是企业在经营和运维上不得不面对的问题。同时,无限期保存数据也会为网络罪犯提供更大的‘攻击面’,比如在谷歌的生态中,黑产团队会使用他们掌握的休眠账号来大规模发送垃圾邮件,这已经是一件公开的事实。”
01
国外相关报道
可见,非活跃、未维护的账户会给用户和企业带来了重大的安全风险。网络犯罪分子善于利用这些被遗忘或未被维护的账户,他们能从此类账户中窃取信息,甚至非法登录,然后再通过此类账户去影响其他活跃账户,比如像国外安全专家所说的那样,乱发垃圾邮件或钓鱼邮件。这些事实是根据Okta的第一份客户身份趋势报告得出的,该报告调查了14个国家2万多名消费者,其中包括了受访者对数字安全和身份认知等方面的体验和态度。
所以,在该报告发布之前,谷歌就宣布将其谷歌账户的非活动政策更新为两年,这意味着如果个人账户在两年内没有被使用或登录,谷歌将删除该账户和账户下所有的内容,包括谷歌工作区(Gmail、Docs、Drive、Meet、Calendar)和所有相关的谷歌照片,新规定将于2023年12月生效。
02
无脑账户新建是非活跃账户风险的促成因素
Michael Hill说,由于互联网的飞速发展,数字世界正在重建人们的生活,大量的APP和应用正涌进我们的社会,这就意味着建立新账户开始变得“无脑”。比如去了某个旅游胜地,那些此生再难驻足的小店会邀请你下载APP并注册新账户,再比如某些不常用但需要用到的应用,由于忘了当初的账户或密码,人们很可能重新注册。因此,这就导致了账户越积越多,因为这些所谓的旧账户不会被删除,它们只会被闲置或遗忘。
Michael Hill指出,账户流失的另一个重大挑战,是能够安全地管理和维护大量账户的数字足迹。Okta的报告发现,71%的受访者能意识到他们在线上活动时所留下的数据痕迹,但只有44%的人会采取措施缓解这种情况,比如时时清理浏览数据、cookie、密码信息、网页表单信息等,不要让重复性行为被网页或APP所记录,特别是和账户、密码、口令相关的内容。
03
非活动账户不具备多因素身份验证
谷歌表示,长期未被访问的非活跃账户更有可能被泄露。该公司相关人员曾表示:“这是因为被遗忘的账户通常只具备简单的密码,这些密码很容易被泄露,也可能是某些人常常会重复使用的密码,相比于其他账户,最主要的问题是,这些缺乏管理的账户没有设置双因素(2FA)身份验证,因此一旦被知晓密码就能立刻窃取,也就是说这些账户不具备相关的安全检查,完全就是不法分子的囊中之物。”
谷歌表示,由于废弃账户不具备2FA的操作保障,因此这些账户特别容易被攻击者利用,攻击者可以利用账户进行身份盗窃,同时发送各种垃圾邮件、钓鱼邮件,而最简单的莫过于利用身份进行诈骗,配合当下最热的AI技术,可以完美复刻全新的你我,这些对个人和社会来说都是极大的安全隐患。
04
犯罪分子正优先考虑被盗凭据
根据Verizon 2022数据泄露调查报告,超过80%的网络应用程序攻击可归因于凭据被盗。网络犯罪分子正在优先考虑这些被盗凭据,这是因为被盗凭据可以增强攻击并绕过安全措施。报告显示,攻击者的意愿也正逐渐从恶意软件转向了凭据滥用,研究发现,这可以提升攻击者在受害者环境中的访问和持久性。同时,这一趋势也对访问代理服务产生了明显的需求,即大量犯罪集团开始销售被盗访问凭据。根据《CrowdStrike 2023全球威胁报告》,与2021年相比,去年发现的访问中介服务广告同比增长112%,在地下犯罪中类似于这样的广告有2500多个。
同时,另一份基于身份安全的调查报告也佐证了这一点。根据身份安全公司One Identity最近进行的一项调研显示,在过去的一年当中(调研时间为2022年10月),十分之九的企业遭受了基于身份的攻击,近70%的公司遭受了网络钓鱼攻击,近40%的企业存在凭据被盗用。
05
延伸之下的身份安全
Michael Hill表示,很显然,非活跃账户背后所能联想到最大的安全问题就是身份安全问题,因为账户的核心内容就是数据和身份。在One Identity的这份报告中显示,96%的公司正使用多种身份管理工具,其中41%的公司部署了至少25种不同的系统来管理访问权限,然而,70%的公司明确表示,他们正在为他们没有积极使用的身份工具付费,这种分散的投资直接影响其整体安全状况。
除此之外,调研报告还披露了以下观点:
1、89%的受访者所在企业在过去12个月中受到了基于身份的攻击;
2、80%的受访者认为,更好的身份管理工具可以防止此类攻击的影响;
3、96%的公司报告使用多种身份管理工具,70%的公司报告他们正在为不积极使用的身份工具付费;
Michael Hill指出,企业在使用传统的身份和访问管理方法,这也导致企业采用多种身份解决方案,而这些方案和工具之间缺乏互操作性,这将对业务和安全产生直接影响。而身份安全企业One Identity认为,通过将安全专业人员的思维方式从不同的、基于工具的方法转变为平台方法,企业可以改善其身份安全防御,以抵御现代威胁形势。
06
国内安全专家的建议
对于该如何管理非活跃账户和身份权限,国内安全专家如此建议。
1、安全漏洞。非活跃账户可能会成为网络攻击者的入口,从而导致企业遭受数据泄露、网络瘫痪等安全问题。攻击者可以利用这些未使用的账户进行身份欺骗、恶意软件传播或其他攻击行为,因此必须对这些账户进行有效的管理和监控。
2、管理困难。过多的非活跃账户将使企业管理员很难对所有账户进行有效管理。此外,由于这些账户未被使用,其权限等信息可能已经过时,使得管理员无法及时更新和回收这些账户,从而增加了管理的难度和复杂性。
3、资源浪费。未使用的账户可能会占用企业的 IT 资源,如存储空间、网络带宽等,从而浪费企业的资源和资金。同时,这些账户也可能会在系统运行时占用 CPU 和内存资源,影响系统的整体性能和稳定性。
4、不符合合规要求。一些行业或法规对账户管理提出了明确的要求,例如 PCI DSS、HIPAA 等。这些合规要求通常规定了必须对所有账户进行有效管理,并及时更新和回收不再使用的账户。如果企业无法满足这些要求,可能会面临罚款、处罚等问题。
1、制定和执行账户管理策略。根据企业的安全需求和合规要求,制定相应的账户管理策略,并将其纳入企业的安全管理框架中。此外,在制定策略时,应考虑到账户的生命周期、权限管理、监控和审计等方面,以确保对账户进行有效管理。
2、定期检查和清理非活跃账户。定期检查和清理非活跃账户,并及时禁用或删除那些未被使用的账户。此外,应对账户进行分类,以便更好地识别哪些账户是可以安全删除的,哪些是需要归档保存的。
3、合规性检查和监督。定期进行合规性检查和监督,确保企业的账户管理策略和操作符合相关法规和标准的要求。此外,也应定期对账户管理进行审计和监督,以发现和纠正不当操作或异常活动。
1、企业高层开通的特权账号,因对系统某次展示效果或功能查看,需要给企业高层开通高权限的特权账户,此类临时性的账号权限无法及时回收,易被攻击利用,破坏性极强。
2、运维人员开通的维护账号,因运维权限变更或者角色调整,而原有的账号权限未及时调整,造成权限蠕变。运维账户往往权限较大,如果被恶意利用,影响严重。
3、第三方供应商开通的临时排障账号,供应商系统出现问题时为了快速修复,往往开通远程排障账号。故障解决后如果不及时删除很容易造成潜在的供应链攻击。
4、因账号管理流程的缺失,导致各种场景下非活跃或未维护的账户无法得到有效管理,给企业带来的潜在隐患非常严重,务必引起重视。
1、强化企业内部员工安全意识,强调账户管理的重要性。
2、建立账号管理流程,构建自动化账号管理平台,对账号的全生命周期加以闭环管控。
3、定期净化历史遗留僵尸账号,明确账号权限和期限。
参考资料:
《Inactive accounts pose significant account takeover security risks》
《身份安全现状:数字身份泛滥 针对性攻击广泛存在》