CDK Global遭遇重大网络攻击的警示

关键点总结

• CDK Global近期遭遇大规模网络攻击，导致系统关停。
• 年均网络攻击造成企业损失超过2000亿美元，已成为不可忽视的问题。
• 企业在身份安全方面存在明显漏洞，使得攻击者能够通过横向移动获取重要数据。
• 身份隔离架构是提高安全性的重要策略。

CDK Global最近成为网络攻击的受害者 ，不得不关闭其多个系统。像这种网络攻击每年导致企业损失超过2000亿美元 的严重后果，占到2023年美国GDP的近1%。可见各类企业不得不正视这一问题。

CDKGlobal不仅关闭了系统，还要求客户断开所有虚拟专用网络，并暂停管理更新，以防止进一步损失。根据公司迄今公布的有限信息，这次攻击很可能涉及勒索软件 或者类似的攻击，攻击者通过感染网络进行横向移动。

这次攻击再次展示了许多企业面对横向身份攻击的脆弱性。我们最近看到无数公司——包括Snowflake、Ticketmaster、UHaul等——都遭遇了网络入侵，所有这些企业都有一个共同点：身份安全存在差距，这使得攻击者能够侵入网络并横向移动，对公司的基础设施造成严重破坏。

大多数企业投入数百万美元在终端或网络分段技术上，但近期的事件显示，仅仅增加预算并不能解决问题。等攻击者侵入终端时，已经为时已晚。因此，保护措施需要提前落实。

安全问题与云增长的实质

根据统计，有67% 的公司不安全地将本地密码同步到云环境中，这增加了攻击面，使得这些公司成为攻击者的诱人目标 。四年前的大规模云迁移虽然便利企业的运营与扩展，但也让攻击者更容易进行侵入。

企业在连接网络时倚赖特权用户身份与非人类身份，这往往会在其基础设施中留下未知的安全漏洞。为了保护自身在攻击者达到“皇冠上的明珠”之前避免横向移动，企业必须部署身份隔离，甚至是身份微分段，以预防这类攻击。

重新审视身份管理

一个合理设计的身份隔离架构关注三个原则 ：

• 更好地管理访问，追求最低权限 ：CISO必须根据来源、目标、协议、时间等因素细化限制访问，尤其是特权用户和非人类特权账户。过多权限可能导致数据丢失或被盗，增加了一些不必要的钓鱼攻击目标。
• 定义公司的“正常”行为 ：为界定风险或不正常活动，CISO需首先明确所有账户的“正常”身份行为基准。例如，一个位于西雅图的用户突然在午夜登录到国外，并访问新的文件，这就应迅速引起注意。
• 迅速发现不正常活动 ：CISO若能配备适当工具主动监控并警示这些非正常活动，团队将能快速响应。这有助于识别并防止活动的进一步偏离，并在攻击者试图侵入网络时，安全团队可以有效减轻和遏制身份妥协风险。

许多因素会导致数据泄露，但缺乏身份隔离和保护始终是导致违规的重要原因之一，即使是一些安全措施先进的大公司也不例外。

身份安全的关键脆弱点

企业如果缺乏强有力的控制和身份保护，唯一的选择就是关闭所有系统以遏制泄露。

近期的Okta和AppDirectory泄露事件表明，传统的身份提供商无法提供所需的360度身份安全防护，他们的重点在于应用管理。这些身份解决方案往往各自为政，仅保护他们所知的部分，从而导致83% 的企业报告身份相关的数据泄露。现在超过90%的企业依靠多种云身份提供商以及其他单一产品来保护不断增加的身份数量。

攻击者正是利用安全上的这些缺口，从组织的一部分跳转到另一部分以窃取数据。这进一步证明身份安全已成为许多公司亟待解决的棘手问题。通过部署上述三步身份隔离架构，CISO们可以更进一步地保障其整个组织的安全，防止进一步的身份基础泄露。

**John-Paul Cunningham，Silverfort首席