防止泄露事故的四個身份管理技巧
責編:admin |2014-10-16 16:04:37雖然2014年的很多大型數據泄露事故都源自于外部攻擊,但事實是,內部攻擊仍然是安全人員的首要考慮問題。事實上,根據PwC最新發表的報告顯示,來自現任和前任員工的惡意行為是被提及次數最多網絡安全風險,超過了有組織的罪犯、民族國家或其他外部攻擊者的攻擊行為。在該報告發布后不久,安全行業就證實了這個問題,據報道,AT&T某員工成功地進入客戶數據庫并訪問了約1600位電信用戶的敏感信息。
這個數據泄露事故再次強調了特權身份管理和身份識別監控的重要性,企業應該確保員工只能訪問其工作需要的數據,而不能濫用其特權來訪問數據來破壞客戶資料記錄。
“我們必須認識到,我們并沒有100%的方法阻止具有訪問權限的惡意員工訪問客戶數據。防止這種情況的最好方法是限制訪問給那些需要的員工,”BeyondTrust公司開發高級主管Chris Silva表示,“例如,客戶支持代表是否需要訪問社會安全數據?答案可能是肯定的,所以他們可以確認來電者的身份,但你可以通過日志記錄所有交易以及限制個人可以訪問的范圍來控制潛在的危害”
目前我們還不清楚AT&T泄露事故中涉及的是什么樣的員工,但Silva推測該公司可能已經部署了某種控制,鑒于1600條記錄只是該公司整個客戶數據庫中的相對較小的部分。然而,這個事件也給企業敲響了警鐘,他們需要找到辦法來嚴格控制對大量敏感數據的訪問權限。
“雖然該公司并沒有透露更多細節信息,但數據庫管理員具有對海量客戶數據的無限和未經審計的訪問權限并不少見,而且還沒有任何監管,”特權身份管理公司Lieberman首席執行官Phil Lieberman表示,“最可怕的一種情況是,攻擊者感染數據庫管理員,并獲取其訪問權限來暗中竊取信息用于轉售或其他用途。”
更好的特權訪問管理還可以帶來更好的問責制,這可以潛在地檢測某種類型的知識產權盜竊。因為對于很多公司,都有幾十個涉及知識產權的內部攻擊沒有被報道:當事情在內部發生時,很多企業會選擇不告訴任何人,除非他們在法律上被要求這樣做。PwC的調查顯示,75%的企業并沒有報道內部盜竊。
同樣地,實行所謂的最小特權規則可以阻止外部攻擊,因為他們通常通過糟糕管理的特權賬戶來滲透網絡。
下面是企業可以采用的幾個主要方法:
1、列出特權賬戶
“如果你不能有效衡量特權賬戶的范圍,你將永遠無法刪除或管理它們,”Silva表示,“審計員基本上想要知道所有這些特權賬戶在環境中的位置。”
企業還應該認識到,特權用戶可能包括不同的角色,除了IT管理員之外。
“傳統上,我們會將管理員稱之為特權用戶,但在實踐中,重要用戶(例如業務線管理員)也可能通過IT系統造成嚴重問題,”BalaBit公司產品經理Csaba Krasznay表示,“出于這個原因,我們建議企業也應該控制和監控其活動。”
2、附加身份信息到賬戶
內部人員泄露事故可能永遠不會被發現,如果超級用戶賬號登錄憑證為共享,并由多名員工在IT和企業其他部分被反復使用。你可能會認為應限制這種訪問類型,但這些賬戶每天都在企業共享。
“基本步驟是,企業應該對所有特權訪問提供責任制,”Kraszny表示,“所有特權用戶都應該有自己的身份信息。”
3、限制員工對數據的訪問
AT&T泄露事故強調了自動化系統不僅應該監控對敏感系統的訪問,還應該限制員工如何可以積累對這些數據的訪問。
他表示:“這種情況指出了對行為分析以及響應系統的需求,當違反數據訪問的‘正常’行為時,應該處罰鎖定和企業響應。”
4、監控和其他超級用戶風險緩解
有時候企業可能無法為每個特權賬戶捆綁用戶身份信息。在這種情況下,監控和其他緩解做法有助于降低風險。
“對于很多企業來說,強大的特權密碼管理做法,加上管理員憑證的登入與登出、自動密碼循環、會話記錄,就已經足夠了,”Silva表示,“在某些情況下,企業可能需要耕細粒度的授權政策,在必要時,移除用戶的管理員或根級登錄憑證。”