压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

一篇文章了解特權賬戶安全

保護特權賬號安全對于減少攻擊的影響至關重要。

對于每一個黑客而言,一般都有如下的典型攻擊模式:收集攻擊對象信息、嗅探以及發現攻擊路徑、對目標進行攻擊并且獲取接入權限、給自己的接入賬號進行提權——當然,如果能直接獲取特權賬號就事半功倍了。因此,對于攻擊者而言,在最初的攻擊當中,目標都是獲取盡可能高權限的賬號,這樣就能在目標系統中不受限地進行各種操作,達成自己的目的。同時,安全專家也估計,在他們進行調查的嚴重網絡攻擊事件中有80%到“幾乎全部”都在攻擊過程的某個環節利用了特權賬戶。

典型的保護特權賬號安全的流程

可以發現,特權賬號的保護是不得不注意的一點。在大部分企業對于信息的保護以及賬號保護的方案,一般都基于以下幾點:

1. 對不同敏感度的信息分類,并且進行不同深度的保護。

2. 對不同權限的賬戶,能查閱、修改不同的信息。

3. 對賬戶進行各種認證保護。

這些措施都是非常正確,并且是必須實行的。但是,我們需要意識到的是,如果特權賬戶無法獲得適當的保護,以上的保護可能都會被繞過變得形同虛設。

然而,絕大部分企業對特權賬戶的保護有以下幾個很大的誤區與問題:

1. 對特權賬戶保護不夠重視:正如之前說的一樣,保護特權賬戶并不完全包含在對數據的分類保護、對賬戶的登錄認證這些方面——盡管很多管理者那么認為。事實上,由于企業的IT環境在不斷變化,特權賬戶的歸屬本身也在不斷變化。當發生人事調動,以及使用了不同的系統時,特權賬戶的使用情況會發生變化,一旦不進行妥善處理,就會留下內部人員賬戶權限過大以及僵尸特權賬號的問題,從而留下內部以及外部的安全隱患。

2. 特權賬戶只是針對人的:也會有管理者認為特權賬戶的管理只是針對人員的,因此,只要從規范上對人進行足夠的安全保護以及教育,就能做好特權賬戶的保護。事實上,特權賬戶的保護,除了與人相關,也與軟件相關:不同的軟件、應用、服務在相互之間交互的時候,也需要通過賬戶進行,因此對于企業在日常運營、開發過程中,也會產生各類特權賬號。

3. 不知道自己有多少特權賬戶:基于以上兩點,大部分的企業很多時候對特權賬戶的管理是十分混亂的:他們不知道自己有哪些特權賬戶、這些特權賬戶都能做些什么、這些特權賬戶都在哪里。如今很多攻擊者往往有極高的耐心,他們會靜靜地潛伏在企業的系統,甚至直接潛伏在企業中數周到數月,發現以及等待對特權賬戶的攻擊機會——企業卻不知道自己到底有哪些特權賬戶,那有如何發現以及防護自己的企業呢?

4. 我們不需要那么多的防御:很多中小企業會認為:自己的IT系統沒那么復雜、攻擊者更傾向于攻擊油水豐厚的大企業。結論則是,自己不需要那么多的安全防護。但是,攻擊者是無孔不入的;而且,他們尤其喜歡中小企業——雖然看上去獲得的利益沒有大型企業那么多,但是因為很多時候中小企業對自身缺乏足夠的安全防護,使得攻擊更容易達成。而我們也在開頭提到了,無論是從攻擊者角度,還是從安全專家角度來看,獲取特權賬戶是在攻擊流程中幾乎必然發生的一個環節。

我們該做什么?

特權賬戶的防御往往是保護數據泄露的最后一道防線。安全專家們給企業的特權賬戶管理提出了以下幾個建議:

1. 了解自己有哪些特權賬戶:我們一直在強調:要保護一樣東西,首先要知道自己有多少這些東西,而他們又在哪里、以怎樣的形式存在著。企業對特權賬戶管理的第一步就是要知道自己有哪些特權賬戶:自己各個系統的root賬戶、自己的應用賬號、自己的各類憑證。有一個數據可能會出乎很多人的意料:一個企業的特權賬戶數量是普通賬戶數量的3到4倍。顯然,知道自己有哪些特權賬戶遠比管理自己的普通賬戶復雜。

2. 監控特權賬戶的變化:企業的人員在不斷變化,企業的IT環境也在不斷變化。企業需要根據人員與IT環境的變化追蹤每個特權賬戶是否依然有必要保留之前的權限。當發生環境變化時,不僅僅要給原有的賬戶根據其新角色加上新的權限,也要根據新的角色取消原有的權限。另一方面,針對賬戶的權限變化進行監控,也能防止異常的賬戶權限變化——比如攻擊者將自身的賬戶進行提權進行進一步攻擊的行為。

3. 限制特權賬戶的權限:安全需要遵守的原則之一是“最小權限原則”——即對人、系統給與的權限只需要滿足該實體需要執行自己任務的最低的權限即可。因此,特權賬戶并不可以被無限制地延伸自己的權限,從特權賬戶建立的時間開始,就需要對其能進行的權限進行限制。

4. 定期整理自己的資產與賬戶:即使有完善的管理,在整個執行的過程中,依然難免會產生一些疏漏。因此,企業需要定期對自己的資產與賬戶進行整體的整理。再次強調,特權賬戶并不局限于對應人的賬號上,某些系統、應用本身也是帶有特權的實體——而他們也屬于企業的特權賬戶,也是企業的信息資產——而資產本身在企業的生產和運營過程中會不斷改變和增加,企業需要定期整理自己的信息資產,并且對自身的信息資產的權限進行整理與管理。

5. 部署合適的防御方案:了解自己的特權賬戶是為了管理以及——防御。企業需要針對性地部署自己特權賬戶的安全方案。但是,每家企業的IT環境都會因為自身的業務有所不同,因此企業需要根據自己的需求進行特權賬戶進行防御的部署。這里并不是說企業需要完全進行個性化的安全解決方案,而是需要和專門的特權賬戶安全供應商合作,在企業特性需求以及網絡環境的基礎上,打造最適合企業的體系。

6. 對特權賬戶使用高信任度認證方式:這是很顯然的行為,越高權限的賬戶需要越安全的認證方式。單純的賬號密碼組合是絕對不足的,運用短信等多因子驗證已經逐漸成為一種趨勢。

誰來提供解決方案?

要達成這些目標,顯然是不能完全使用人力進行,也不建議使用其他安全系統來作為替代品。最好的方式是用專門的PAM(Privileged Access Management,特權賬戶管理)工具進行管理——包括特權的給予、提升以及降權等行為。一款優秀的PAM系統不僅僅能夠滿足以上對特權賬戶管理的需求,同時也能引導企業建立自身的特權賬戶管理方案。無論是大型企業,還是中小企業,都需要盡快規劃自己對特權賬戶管理的策略。如果對PAM工具以及廠商不是特別熟悉,下方是最新(2018年12月)Gartner的PAM魔力象限圖,可以從象限中參考適合自己的廠商。

在2018年6月Gartner曾經提出2018年的十大網絡安全項目,其中特權賬號安全被列為第一項的安全重點項目。由此,Gartner在2018年底正式發布了“特權賬號安全領域”魔力象限評測。

從領導者的象限上來看,這四家廠商各有各的優勢。CyberArk有相當的技術積累以及歷史的公司,其在PAM上的產品線與功能相當全面;BeyondTrust則有能和資產與漏洞管理相結合,快速減少威脅面的能力;Centrify提供遠程第三方特權賬號解決方案,從而不需要再使用VPN;CA Technologies則擁有最好的PSM(Print Services Manager)以及對AWS的準時化特權過濾的支持。

但是,在選擇的時候,我們也需要意識到,PAM如今的主要市場在北美和歐洲。比如在Gartner的魔力象限中就提到,Centrify的主要支持都在北美,因此如果主要使用地區在國內,Centrify可能無法提供最有效的支持。當然,也有廠商在開拓亞洲市場,比如CyberArk就在幫助國內企業,打造適合他們的特權賬戶安全解決方案。企業在選擇廠商的時候也需要考慮自己部署的地理位置以及能否獲得最直接的技術支持。

上一篇:與硬件無關的邊信道攻擊:操作系統頁緩存泄露數據

下一篇:“安全+”沙龍第十四期在上海成功舉辦/1月4日

站长统计