2020開年真是不算太平，除了現實世界里新冠病毒疫情爆發、沙特石油大戰，賽博世界里也出現了大規模數據泄露事件，萬豪酒店520萬用戶數據再遭泄露。該漏洞始于2020年1月中旬，2020年2月底被發現。對本來就處于復工復產初期不算景氣的酒店業，也算是雪上加霜。

據悉，本次導致數據泄露的原因是通過萬豪第三方特許經營酒店中兩名員工的登錄賬號訪問了大量敏感數據造成的。對比上次， 2014年起即存在第三方賬號對喜達屋網絡未經授權的訪問，但公司直到2018年9月才第一次收到警報，今年同樣的戲碼再次上演。由此可以看出，對身份賬號權限管理的重要性。

1. 企業賬號體系日趨復雜 安全隱患增多

酒店管理系統比較復雜，通常涉及大量第三方參與系統開發與運維支持，并且存在大量的第三方接口，比如去哪兒、攜程等APP都會通過API接口與酒店數據庫連接，個人用戶通過這些第三方APP預定房間時會更新同一個數據源。同時，酒旅行業中擁有大量的保潔員、IT工程師、維修師傅、外包等，人員構成復雜，為了方便開展工作，這些人員都有接入公司內網的賬號權限。

傳統的身份識別與訪問管理（IAM）產品主要是圍繞HR體系，通過管好自己的員工賬戶，并把這些賬戶的使用范圍控制在辦公室內，來防止數據泄露事件發生。但是類似酒旅、快遞、零售等行業中的企業或者大型集團性企業中人員構成復雜，導致賬號體系也異常復雜，再加上越來越多的個人終端設備接入內網、遠程辦公的火熱，傳統IAM產品就顯得力不從心。

一方面賬號權限管理不靈活，比如，一個外包員工離職，企業HR體系未必及時更新，該賬號權限會依然保留，這樣一個非法賬戶就留下了，潛在安全隱患產生。

另一方面無法及時發現賬號行為異常，防止“內鬼作案”。比如，一個由于臨時業務需求被賦予了高等級權限的賬號突然開始訪問不應該訪問的數據庫，這就是異常行為，需要及時阻止，否則就容易出現數據泄露事件。

目前越來越多由賬號管理問題導致的安全事件頻繁發生。而任何一次信息泄露事件，對企業帶來的不僅是經濟上的損失，更是對企業商譽的破壞。上次萬豪數據泄露被GDPR處以9,900萬英鎊的罰款，是迄今為止最高的數據泄露罰款之一。

2. 以UEBA為核心的統一身份認證服務是必然趨勢

統一身份認證服務是通過統一的身份認證服務中臺，做到對所有企業賬號權限的一站式生命周期管理，比如，員工入職時可以一鍵開通賬號權限，離職時一鍵刪除在企業內的所有賬號權限，為外包員工申請的短期或臨時賬號權限過期后被自動收回，等等。通過這些最佳實踐，可以確保企業的賬戶權限都是受控的。

UEBA，即用戶行為分析，即對員工賬號權限做統一管理后，還需要實時檢測和發現賬號的異常行為，不僅保障使用該賬號的人是真正擁有該賬號的人，而且保障該賬號所做的操作在其正常職責范圍內，一旦發現異常及時告警并阻斷危險行為，這也是UEBA越來越被企業接受和認可的原因所在。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? UEBA動態防御

阿里云提供的統一身份認證服務IDaaS（IDentity as a Service），可以基于云原生安全能力，將每個用戶賬號在網絡、操作系統、中間件、應用等方面產出的行為日志匯集，通過 AI算法進行分析， 形成每個用戶正常行為的安全基線，即用戶行為畫像，從而當某個用戶賬號出現異常行時，比如平時不訪問數據庫的賬號訪問數據庫并做出拖庫操作，或者一個用戶突然在一段時間內頻繁的訪問敏感信息，IDaaS會立即做出阻斷，或通過釘釘告知到管理員，做到自動防御為主，人工干預為輔，降低人工成本的同時，大大提升了安全事件自動響應速度，將企業安全水位拉升到一個新高度。

借助IDaaS，企業可以輕松判斷每個賬號背后所代表的“你是否是你，并且你的行為是否合理”。在此次萬豪數據泄露事件中，正是由于第三方特許經營酒店中兩名員工登錄賬號被不合理使用導致的數據泄露。拋開賬戶是否合法不說，顯然對用戶賬號行為的監控也是缺少的。

除了酒旅行業，以UEBA為核心的統一身份認證能力同樣適用于快遞、零售行業中網點眾多、人員分散的辦公場景。在這類企業組織架構中，任何一個邊緣賬號被盜用，或做了未經授權的訪問，都有可能導致大量消費者信息泄露。所以保障每個用戶訪問系統的賬號安全，不使用弱密碼，不多人共享賬號，及時發現每個用戶賬號訪問行為異常，至關重要。

?

?

總結

以上是生活随笔為你收集整理的账号权限问题导致数据泄露频发，如何破解“万豪们”的安全难题？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。