IAM-企业免受网络攻击的得力助手

据相关报道，2021年3月9日，美国安防摄像头公司Verkada遭到了大规模的黑客攻击，就此重大事件已联系了美国联邦调查局（FBI）进行调查。调查发现，黑客起初通过获得摄像头的访问权限和客户名单，进而攻破了十几万个安保摄像头和视频源，并公开了医院、诊所和卫生机构，银行、学校、警局和监狱，多个特斯拉（Tesla）工厂（包括中国上海工厂），以及Cloudflare等公司或机构的内部运作，而且全都是4K超高清分辨率。公司如果受到了黑客监视，怎么办？Verkada事件证明了黑客监视和攻击的范围有多广，也暴露了公司在保护平台免遭监视和跟踪方面的疏忽，在我们深入探讨之前，先简单了解一下Verkada被黑事件是如何发生的？攻击者在Twitter上大肆宣扬此次攻击是为了“正义”，甚至还调侃到，只要他们愿意，他们就能够获得超级管理员的帐户凭据，轻轻松松在线获取Verkada所有客户的摄像头访问权限和视频档案。显然，他们已经了解到Verkada的超级管理员权限不仅提供了对视频供稿的访问权限，还提供了客户公司内或厂房内安装的摄像头的root shell访问权。零信任原则一些管理员在给用户分配权限时，其实并未考虑用户所需的最小权限是什么，导致某些用户甚至公司内多数用户的权限过于“自由”。如这次在Verkada遭到攻击之后，公司才发现Verkada内几乎每个团队成员都具有Super Admin特权，几乎Verkada所有员工直接拥有窥视用户的特权。这就是文章开头讲到的此次攻击事件发生的根本原因所在！监视用户的服务器访问活动据Verkada描述，他们把用户凭据写在了Jenkins所用插件的Python脚本里，攻击者通过获得了支持团队使用的Jenkins服务器的访问权限，攻击者只需点击一下鼠标就可以访问任何一个客户的摄像头，甚至可以在摄像头上执行自己的恶意代码。试想，如果Verkada对Jenkins服务器进行了监视，实时检测到有来自未知主机的未经授权的访问，则此次攻击事件可能就不会发生了。“监视连接到公司网络的所有服务器、用户和终端”，默认每个用户的访问活动都是存在威胁的，这是零信任安全遵守的另一原则。监控Windows系统本地工具攻击者声称，他们能够获得客户的摄像头的root权限，并且可以使用摄像头执行自己的代码，获得这种访问级别权限并不需要他们额外耗力，只需利用好摄像头的内置功能便可得逞。这也是目前普遍流行的一种网络攻击模式，即将恶意行为与真正授权的进程混合在一起，然后进行攻击。另外，监视操作系统的注册表信息更改、命令行活动和GPO更改也非常重要，因为这些更改活动通常只能由具有特权的高级管理员修改。总之，Verkada这次遭受的攻击，根本原因是管理员忽视了安全身份和访问管理（IAM）的三个重要原则：l Authentication：超级管理员账户凭据公开存储，无法确保身份认证系统安全。l Authorization：普通用户对关键资源的访问和权限不受限制，人人都有特权，人人都是管理员，攻击者很容易获得特权。l Accountability：无法追溯Jenkins服务器上的恶意用户活动，无法跟踪用户获得root权限后的访问活动和执行的命令，无法检测到攻击者对摄像头和存档视频的攻击尝试。另外，Verkada没有针对其网络上端到端的安全事件监视的解决方案，缺乏告警机制和响应策略。