沒(méi)有人愿意相信受信任的雇員或內(nèi)部人員在濫用其特權(quán)賬戶來(lái)給企業(yè)造成破壞。但事實(shí)是，無(wú)論是為了經(jīng)濟(jì)利益、報(bào)復(fù)或意外事故，肇事者都擁有訪問(wèn)權(quán)限、知識(shí)、機(jī)會(huì)、時(shí)間來(lái)進(jìn)行攻擊，還可能知道如何不被發(fā)現(xiàn)。CISO有辦法來(lái)部署控制以及分配特權(quán)賬戶，而不會(huì)影響工作人員履行崗位職責(zé)的能力。

特權(quán)賬戶帶來(lái)的挑戰(zhàn)

絕大多數(shù)系統(tǒng)管理員、網(wǎng)絡(luò)工程師、技術(shù)支持人員、數(shù)據(jù)庫(kù)管理人員和信息安全工程師認(rèn)為，由于其工作的性質(zhì)，他們需要全面而不受限制的特權(quán)訪問(wèn)。這里的挑戰(zhàn)是，他們和企業(yè)非常依賴這種級(jí)別的訪問(wèn)權(quán)限，這很難改變。造成這種情況的原因包括：

1、在多個(gè)平臺(tái)和組件特權(quán)賬戶通常是相同的。如果特權(quán)賬戶可以攻破一個(gè)平臺(tái)，則會(huì)影響對(duì)整個(gè)環(huán)境的訪問(wèn)。

2、有些特權(quán)賬戶在管理員之間共享，從而影響問(wèn)責(zé)制。

3、應(yīng)用系統(tǒng)中嵌入式服務(wù)賬戶讓其難以遵守安全策略規(guī)定的定期更改密碼。

4、特權(quán)賬戶通常不是受相同的企業(yè)密碼控制，因?yàn)閾?dān)心在重要時(shí)刻他們可能被鎖定而被拒絕訪問(wèn)。

5、糟糕的變更控制、無(wú)效的回收系統(tǒng)以及經(jīng)常性緊急變更需要特權(quán)訪問(wèn)，以保持系統(tǒng)的可用性和性能水平。

6、小部分工作人員要求管理人員在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全和數(shù)據(jù)庫(kù)管理員水平填補(bǔ)沖突的工作職責(zé)。

限制特權(quán)賬戶

管理員需要比一般用戶更高的訪問(wèn)權(quán)限來(lái)訪問(wèn)系統(tǒng)資源以完成其工作。例如，對(duì)網(wǎng)絡(luò)設(shè)備配置的任何微小變化都會(huì)影響整個(gè)企業(yè)，限制訪問(wèn)權(quán)限可能不利于IT運(yùn)營(yíng)和系統(tǒng)可用性。但企業(yè)仍然通過(guò)職責(zé)分離、監(jiān)控活動(dòng)、變更控制要求、最小權(quán)限和問(wèn)責(zé)制等基本控制來(lái)限制特權(quán)賬戶，這些控制包括：

1、限制特權(quán)賬戶的數(shù)量。

2、并非所有管理員需要域賬戶或?qū)ν獠堪踩芾砥鞯某?jí)用戶特權(quán)，例如大型機(jī)IBM的RACE、CA-ACF2或CA-Top Secret。

3、在分配特權(quán)賬戶時(shí)使用Active Directory Administrative Groups。

4、確保特權(quán)賬戶使用自己的賬戶，他們可以有特權(quán)賬戶，但他們應(yīng)該使用一般用戶賬戶，因?yàn)橹付ü芾韱T才可擁有特權(quán)賬戶。

5、所有特權(quán)活動(dòng)應(yīng)該被記錄，日志應(yīng)該直接路由到SIEM，這樣日志無(wú)法被刪除或修改。

6、對(duì)于所有遠(yuǎn)程訪問(wèn)，管理員應(yīng)該使用多因素身份驗(yàn)證。對(duì)于所有三層網(wǎng)絡(luò)設(shè)備和關(guān)鍵任務(wù)子網(wǎng)時(shí)，應(yīng)該需要代理或跳躍服務(wù)器以及AAA TACACS/RADIUS服務(wù)器來(lái)獲得訪問(wèn)權(quán)限。

7、可由管理員訪問(wèn)的敏感數(shù)據(jù)應(yīng)該進(jìn)行加密以減小風(fēng)險(xiǎn)。

8、管理員密碼應(yīng)該由企業(yè)控制，并由Group Policy Object執(zhí)行，而無(wú)一例外。

9、技術(shù)管理人員應(yīng)執(zhí)行定期賬戶認(rèn)證，以確保是否仍然需要特權(quán)賬戶訪問(wèn)權(quán)限。

10、數(shù)據(jù)庫(kù)管理員不需要域賬戶，他們需要訪問(wèn)權(quán)限來(lái)維護(hù)數(shù)據(jù)庫(kù)、模式和執(zhí)行數(shù)據(jù)庫(kù)庫(kù)重組。如果他們需要修改數(shù)據(jù)，應(yīng)受到數(shù)據(jù)庫(kù)監(jiān)控。

11、使用防火墻VLAN、代理服務(wù)器和ACL來(lái)分隔網(wǎng)絡(luò)，讓管理員只能訪問(wèn)他們負(fù)責(zé)的系統(tǒng)。

12、信息安全賬戶需要規(guī)定安全結(jié)構(gòu)，但他們不需要訪問(wèn)權(quán)限來(lái)讀取或修改生產(chǎn)數(shù)據(jù)。這些賬戶因由SIEM監(jiān)控，活動(dòng)應(yīng)進(jìn)行管理審查。

13、技術(shù)管理員不應(yīng)該有域賬戶，除非因?yàn)槿藛T配備不足而需要。管理人員和信息安全人員應(yīng)該監(jiān)控特權(quán)賬戶活動(dòng)。

14、使用數(shù)據(jù)丟失工具來(lái)監(jiān)控網(wǎng)絡(luò)、服務(wù)器、共享和端點(diǎn)的活動(dòng)，以防數(shù)據(jù)泄露或滲出。

現(xiàn)在市面上有很多工具可提供對(duì)特權(quán)賬戶的額外限制，這些特權(quán)訪問(wèn)管理系統(tǒng)各有不同，并可用來(lái)增強(qiáng)上述控制。除了這些系統(tǒng)，限制特權(quán)賬戶數(shù)量、監(jiān)控特權(quán)賬戶活動(dòng)、確保問(wèn)責(zé)制、職責(zé)分離和保護(hù)敏感數(shù)據(jù)就已足夠。

cc

收藏 海報(bào)分享