压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

保護(hù)特權(quán)賬號安全對于減少攻擊的影響至關(guān)重要。

對于每一個黑客而言，一般都有如下的典型攻擊模式：收集攻擊對象信息、嗅探以及發(fā)現(xiàn)攻擊路徑、對目標(biāo)進(jìn)行攻擊并且獲取接入權(quán)限、給自己的接入賬號進(jìn)行提權(quán)——當(dāng)然，如果能直接獲取特權(quán)賬號就事半功倍了。因此，對于攻擊者而言，在最初的攻擊當(dāng)中，目標(biāo)都是獲取盡可能高權(quán)限的賬號，這樣就能在目標(biāo)系統(tǒng)中不受限地進(jìn)行各種操作，達(dá)成自己的目的。同時，安全專家也估計，在他們進(jìn)行調(diào)查的嚴(yán)重網(wǎng)絡(luò)攻擊事件中有80%到“幾乎全部”都在攻擊過程的某個環(huán)節(jié)利用了特權(quán)賬戶。

典型的保護(hù)特權(quán)賬號安全的流程

可以發(fā)現(xiàn)，特權(quán)賬號的保護(hù)是不得不注意的一點。在大部分企業(yè)對于信息的保護(hù)以及賬號保護(hù)的方案，一般都基于以下幾點：

1. 對不同敏感度的信息分類，并且進(jìn)行不同深度的保護(hù)。

2. 對不同權(quán)限的賬戶，能查閱、修改不同的信息。

3. 對賬戶進(jìn)行各種認(rèn)證保護(hù)。

這些措施都是非常正確，并且是必須實行的。但是，我們需要意識到的是，如果特權(quán)賬戶無法獲得適當(dāng)?shù)谋Ｗo(hù)，以上的保護(hù)可能都會被繞過變得形同虛設(shè)。

然而，絕大部分企業(yè)對特權(quán)賬戶的保護(hù)有以下幾個很大的誤區(qū)與問題：

1. 對特權(quán)賬戶保護(hù)不夠重視：正如之前說的一樣，保護(hù)特權(quán)賬戶并不完全包含在對數(shù)據(jù)的分類保護(hù)、對賬戶的登錄認(rèn)證這些方面——盡管很多管理者那么認(rèn)為。事實上，由于企業(yè)的IT環(huán)境在不斷變化，特權(quán)賬戶的歸屬本身也在不斷變化。當(dāng)發(fā)生人事調(diào)動，以及使用了不同的系統(tǒng)時，特權(quán)賬戶的使用情況會發(fā)生變化，一旦不進(jìn)行妥善處理，就會留下內(nèi)部人員賬戶權(quán)限過大以及僵尸特權(quán)賬號的問題，從而留下內(nèi)部以及外部的安全隱患。

2. 特權(quán)賬戶只是針對人的：也會有管理者認(rèn)為特權(quán)賬戶的管理只是針對人員的，因此，只要從規(guī)范上對人進(jìn)行足夠的安全保護(hù)以及教育，就能做好特權(quán)賬戶的保護(hù)。事實上，特權(quán)賬戶的保護(hù)，除了與人相關(guān)，也與軟件相關(guān)：不同的軟件、應(yīng)用、服務(wù)在相互之間交互的時候，也需要通過賬戶進(jìn)行，因此對于企業(yè)在日常運營、開發(fā)過程中，也會產(chǎn)生各類特權(quán)賬號。

3. 不知道自己有多少特權(quán)賬戶：基于以上兩點，大部分的企業(yè)很多時候?qū)μ貦?quán)賬戶的管理是十分混亂的：他們不知道自己有哪些特權(quán)賬戶、這些特權(quán)賬戶都能做些什么、這些特權(quán)賬戶都在哪里。如今很多攻擊者往往有極高的耐心，他們會靜靜地潛伏在企業(yè)的系統(tǒng)，甚至直接潛伏在企業(yè)中數(shù)周到數(shù)月，發(fā)現(xiàn)以及等待對特權(quán)賬戶的攻擊機(jī)會——企業(yè)卻不知道自己到底有哪些特權(quán)賬戶，那有如何發(fā)現(xiàn)以及防護(hù)自己的企業(yè)呢？

4. 我們不需要那么多的防御：很多中小企業(yè)會認(rèn)為：自己的IT系統(tǒng)沒那么復(fù)雜、攻擊者更傾向于攻擊油水豐厚的大企業(yè)。結(jié)論則是，自己不需要那么多的安全防護(hù)。但是，攻擊者是無孔不入的；而且，他們尤其喜歡中小企業(yè)——雖然看上去獲得的利益沒有大型企業(yè)那么多，但是因為很多時候中小企業(yè)對自身缺乏足夠的安全防護(hù)，使得攻擊更容易達(dá)成。而我們也在開頭提到了，無論是從攻擊者角度，還是從安全專家角度來看，獲取特權(quán)賬戶是在攻擊流程中幾乎必然發(fā)生的一個環(huán)節(jié)。

我們該做什么？

特權(quán)賬戶的防御往往是保護(hù)數(shù)據(jù)泄露的最后一道防線。安全專家們給企業(yè)的特權(quán)賬戶管理提出了以下幾個建議：

1. 了解自己有哪些特權(quán)賬戶：我們一直在強調(diào)：要保護(hù)一樣?xùn)|西，首先要知道自己有多少這些東西，而他們又在哪里、以怎樣的形式存在著。企業(yè)對特權(quán)賬戶管理的第一步就是要知道自己有哪些特權(quán)賬戶：自己各個系統(tǒng)的root賬戶、自己的應(yīng)用賬號、自己的各類憑證。有一個數(shù)據(jù)可能會出乎很多人的意料：一個企業(yè)的特權(quán)賬戶數(shù)量是普通賬戶數(shù)量的3到4倍。顯然，知道自己有哪些特權(quán)賬戶遠(yuǎn)比管理自己的普通賬戶復(fù)雜。

2. 監(jiān)控特權(quán)賬戶的變化：企業(yè)的人員在不斷變化，企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個特權(quán)賬戶是否依然有必要保留之前的權(quán)限。當(dāng)發(fā)生環(huán)境變化時，不僅僅要給原有的賬戶根據(jù)其新角色加上新的權(quán)限，也要根據(jù)新的角色取消原有的權(quán)限。另一方面，針對賬戶的權(quán)限變化進(jìn)行監(jiān)控，也能防止異常的賬戶權(quán)限變化——比如攻擊者將自身的賬戶進(jìn)行提權(quán)進(jìn)行進(jìn)一步攻擊的行為。

3. 限制特權(quán)賬戶的權(quán)限：安全需要遵守的原則之一是“最小權(quán)限原則”——即對人、系統(tǒng)給與的權(quán)限只需要滿足該實體需要執(zhí)行自己任務(wù)的最低的權(quán)限即可。因此，特權(quán)賬戶并不可以被無限制地延伸自己的權(quán)限，從特權(quán)賬戶建立的時間開始，就需要對其能進(jìn)行的權(quán)限進(jìn)行限制。

4. 定期整理自己的資產(chǎn)與賬戶：即使有完善的管理，在整個執(zhí)行的過程中，依然難免會產(chǎn)生一些疏漏。因此，企業(yè)需要定期對自己的資產(chǎn)與賬戶進(jìn)行整體的整理。再次強調(diào)，特權(quán)賬戶并不局限于對應(yīng)人的賬號上，某些系統(tǒng)、應(yīng)用本身也是帶有特權(quán)的實體——而他們也屬于企業(yè)的特權(quán)賬戶，也是企業(yè)的信息資產(chǎn)——而資產(chǎn)本身在企業(yè)的生產(chǎn)和運營過程中會不斷改變和增加，企業(yè)需要定期整理自己的信息資產(chǎn)，并且對自身的信息資產(chǎn)的權(quán)限進(jìn)行整理與管理。

5. 部署合適的防御方案：了解自己的特權(quán)賬戶是為了管理以及——防御。企業(yè)需要針對性地部署自己特權(quán)賬戶的安全方案。但是，每家企業(yè)的IT環(huán)境都會因為自身的業(yè)務(wù)有所不同，因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)賬戶進(jìn)行防御的部署。這里并不是說企業(yè)需要完全進(jìn)行個性化的安全解決方案，而是需要和專門的特權(quán)賬戶安全供應(yīng)商合作，在企業(yè)特性需求以及網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，打造最適合企業(yè)的體系。

6. 對特權(quán)賬戶使用高信任度認(rèn)證方式：這是很顯然的行為，越高權(quán)限的賬戶需要越安全的認(rèn)證方式。單純的賬號密碼組合是絕對不足的，運用短信等多因子驗證已經(jīng)逐漸成為一種趨勢。

誰來提供解決方案？

要達(dá)成這些目標(biāo)，顯然是不能完全使用人力進(jìn)行，也不建議使用其他安全系統(tǒng)來作為替代品。最好的方式是用專門的PAM（Privileged Access Management，特權(quán)賬戶管理）工具進(jìn)行管理——包括特權(quán)的給予、提升以及降權(quán)等行為。一款優(yōu)秀的PAM系統(tǒng)不僅僅能夠滿足以上對特權(quán)賬戶管理的需求，同時也能引導(dǎo)企業(yè)建立自身的特權(quán)賬戶管理方案。無論是大型企業(yè)，還是中小企業(yè)，都需要盡快規(guī)劃自己對特權(quán)賬戶管理的策略。如果對PAM工具以及廠商不是特別熟悉，下方是最新（2018年12月）Gartner的PAM魔力象限圖，可以從象限中參考適合自己的廠商。

在2018年6月Gartner曾經(jīng)提出2018年的十大網(wǎng)絡(luò)安全項目，其中特權(quán)賬號安全被列為第一項的安全重點項目。由此，Gartner在2018年底正式發(fā)布了“特權(quán)賬號安全領(lǐng)域”魔力象限評測。

從領(lǐng)導(dǎo)者的象限上來看，這四家廠商各有各的優(yōu)勢。CyberArk有相當(dāng)?shù)募夹g(shù)積累以及歷史的公司，其在PAM上的產(chǎn)品線與功能相當(dāng)全面；BeyondTrust則有能和資產(chǎn)與漏洞管理相結(jié)合，快速減少威脅面的能力；Centrify提供遠(yuǎn)程第三方特權(quán)賬號解決方案，從而不需要再使用VPN；CA Technologies則擁有最好的PSM（Print Services Manager）以及對AWS的準(zhǔn)時化特權(quán)過濾的支持。

但是，在選擇的時候，我們也需要意識到，PAM如今的主要市場在北美和歐洲。比如在Gartner的魔力象限中就提到，Centrify的主要支持都在北美，因此如果主要使用地區(qū)在國內(nèi)，Centrify可能無法提供最有效的支持。當(dāng)然，也有廠商在開拓亞洲市場，比如CyberArk就在幫助國內(nèi)企業(yè)，打造適合他們的特權(quán)賬戶安全解決方案。企業(yè)在選擇廠商的時候也需要考慮自己部署的地理位置以及能否獲得最直接的技術(shù)支持。