任何事情總是事后說起來容易，但今天似乎已經很清楚，最近，高調的網絡攻擊背后的罪犯，不一定是電腦天才，只是獲得良好機會的人們。他們能夠利用人性的弱點，然后濫用他們找到的一個敞開的門。這里，讓我來解釋一下。

這些黑客使用諸如具有高度針對性的魚叉式網絡釣魚(Spear Phishing)電子郵件，引誘不知情的用戶打開一個惡意的附件，然后把惡意軟件部署到用戶的計算機中。攻擊者可以從一個機構內的單臺計算機開始，然后利用弱的、共享的特權帳戶的受害者，控制整個網絡系統，搜遍其基礎設施和提取敏感的信息。這種方法很簡單，但非常有效。

潛在的、脆弱的特權帳戶在IT基礎設施上—主機電腦操作系統，網絡設備和備份系統，以及在業務軟件中，是隨處可見的。特權帳戶可分為三個主要群體：

1、超級用戶登錄個人賬戶，用于配置、運行和安裝應用程序，更改系統設置;處理日常行政工作;以及執行應急消防呼叫維護。

2、服務帳戶，需要特權的登錄ID和密碼來運行。

3、應用到應用的密碼，被網站、在線業務應用、定制軟件連接到數據庫時使用的。

控制訪問特權帳戶的密碼，是最終黑客和機構的私人數據之間的主要障礙。然而，很多時候，這些密碼沒有得到充分的保護、監督和審查。

安全性：為什么特權帳戶處于危險之中

因為特權帳戶，甚至沒有通過身份訪問管理(Identity Access Management簡稱IAM)系統確認，大多數機構都沒有用自動化的方式來管理這些強勢的帳戶。今天由政府和行業團體制定的IT安全法規要求機構經常更新特權帳戶的證書，并審核其使用授權。但是用腳本或手工更新這些帳戶，常常被證明是太耗時和容易出錯的。對于更復雜的過程，手動更改可能會導致服務中斷，如果人員不清楚不同的特權帳戶之間的相互依存關系的時候。因此，許多機構根本忽視了這個問題。

不幸的是，由弱的特權帳戶引入的安全風險，在您的數據中心并沒有停止。您的機構可能使用的越來越多的共享服務，包括云服務、證書頒發機構和金融服務網關，特權帳戶的安全管理薄弱或不存在管理的問題已經暴露無遺。對于一個黑客來說，由共享的服務提供商員工使用的一個弱加密特權登錄，是具有令人難以置信的吸引力的目標，尤其是因為在這些環境中的一個單一的妥協登錄，就可以打開企業客戶的私人數據。#p#

保護鑰匙的安全

雖然保護您的特權帳戶的安全，可能看起來像一個棘手的問題，你可以從控制開始，只需采取三個簡單的步驟。

第1步，找到鑰匙。您需要執行一個對您的整個網絡從頂端到底層的審查，以確定所有特權帳戶究竟在何處駐留。這應該包括編目，看看登錄密碼是否足夠獨特和復雜，它們是否經常改變，以保證安全。

在這一點上，一些讀者可能會感到絕望，因為在一個典型的數據中心有成千上萬的潛在的特權登錄編目，這是一項不容易的任務。不要害怕，有些公司可以向審核合格的機構提供特權帳戶的審計，通常是不收取費用的。

第2步，鎖門。你應該部署自動地關閉任何已發現的安全漏洞的功能。有成本效益的解決方案，不僅可以保證非常大的網絡上的這些帳戶的安全，而且這樣做只需幾個小時或幾天，而不是幾個月的時間。

第3步，固定窗口。如果您的網絡關鍵的外部組成部分是脆弱的，您也不能保證安全。要求您的關鍵業務合作伙伴，包括云服務提供商、證書頒發機構和其他機構，證明他們是在遵守有意義的、如共識審計準則(Consensus Audit Guidelines)這樣的規定。我認為，如果他們提供像SAS70等類似的自我認證，那說明他們沒有采取認真的態度，最終將會暴露您的私人信息。

黑客已經表明，它們能穿透任何企業的網絡。在過去的幾個月中，入侵者似乎更占上風，因為泄露這個詞已經攻擊類似遭受損害的DigiNotar的四個證書頒發機構。

許多機構似乎認識到情況的嚴重性，產生了一些恐慌和混亂的回應，因為他們趕緊鎖好門，而慌亂中，卻把鑰匙留在鎖上。你的數據中心依賴于特權身份的功能，這是不會改變的。但是，如果不能保護這些帳戶，那么將會暴露您的私人數據。我們已經解釋過風險了，但最終的決定取決于您自己。