Verizon公司在《2015年數據泄露調查報告》中指出,在其分析的約80000起安全事故中,96%可歸因于9種基本攻擊模式(因行業而異)。在這9種攻擊模式中,內部濫用排在第三位,而其中55%的濫用是特權賬戶濫用。該報告指出,個人濫用其訪問權限幾乎發生在每個行業;然而,受影響最大的行業是公共事業、醫療和金融行業。
沒有人愿意承認,受信任的雇員或內部人員在濫用其特權賬戶來給企業造成破壞。但事實是,無論是為了經濟利益、報復或意外事故,肇事者都擁有訪問權限、知識、機會、時間來進行攻擊,還可能知道如何不被發現。然而,限制特權訪問并不是信任的問題,如果信任是問題,那么企業應該解雇這個內部人員,這是謹慎控制和問責制的問題。所幸的是,CISO有辦法來部署控制以及分配特權賬戶,而不會影響工作人員履行崗位職責的能力。
特權賬戶帶來的挑戰
絕大多數系統管理員、網絡工程師、技術支持人員、數據庫管理人員和信息安全工程師認為,由于其工作的性質,他們需要全面而不受限制的特權訪問。這里的挑戰是,他們和企業非常依賴這種級別的訪問權限,這很難改變。造成這種情況的原因包括:
· 在多個平臺和組件特權賬戶通常是相同的。如果特權賬戶可以攻破一個平臺,則會影響對整個環境的訪問。
· 有些特權賬戶在管理員之間共享,從而影響問責制。
· 應用系統中嵌入式服務賬戶讓其難以遵守安全策略規定的定期更改密碼。
· 特權賬戶通常不是受相同的企業密碼控制,因為擔心在重要時刻他們可能被鎖定而被拒絕訪問。
· 糟糕的變更控制、無效的回收系統以及經常性緊急變更需要特權訪問,以保持系統的可用性和性能水平。
· 小部分工作人員要求管理人員在網絡、系統、應用、安全和數據庫管理員水平填補沖突的工作職責。
限制特權賬戶
管理員需要比一般用戶更高的訪問權限來訪問系統資源以完成其工作。例如,對網絡設備配置的任何微小變化都會影響整個企業,限制訪問權限可能不利于IT運營和系統可用性。但企業仍然通過職責分離、監控活動、變更控制要求、最小權限和問責制等基本控制來限制特權賬戶,這些控制包括:
· 限制特權賬戶的數量。
· 并非所有管理員需要域賬戶或對外部安全管理器的超級用戶特權,例如大型機IBM的RACE、CA-ACF2或CA-Top Secret。
· 在分配特權賬戶時使用Active Directory Administrative Groups。
· 確保特權賬戶使用自己的賬戶,他們可以有特權賬戶,但他們應該使用一般用戶賬戶,因為指定管理員才可擁有特權賬戶。
· 所有特權活動應該被記錄,日志應該直接路由到SIEM,這樣日志無法被刪除或修改。
· 對于所有遠程訪問,管理員應該使用多因素身份驗證。對于所有三層網絡設備和關鍵任務子網時,應該需要代理或跳躍服務器以及AAA TACACS/RADIUS服務器來獲得訪問權限。
· 可由管理員訪問的敏感數據應該進行加密以減小風險。
· 管理員密碼應該由企業控制,并由Group Policy Object執行,而無一例外。
· 技術管理人員應執行定期賬戶認證,以確保是否仍然需要特權賬戶訪問權限。
· 數據庫管理員不需要域賬戶,他們需要訪問權限來維護數據庫、模式和執行數據庫庫重組。如果他們需要修改數據,應受到數據庫監控。
· 使用防火墻VLAN、代理服務器和ACL來分隔網絡,讓管理員只能訪問他們負責的系統。
· 信息安全賬戶需要規定安全結構,但他們不需要訪問權限來讀取或修改生產數據。這些賬戶因由SIEM監控,活動應進行管理審查。
· 技術管理員不應該有域賬戶,除非因為人員配備不足而需要。管理人員和信息安全人員應該監控特權賬戶活動。
· 使用數據丟失工具來監控網絡、服務器、共享和端點的活動,以防數據泄露或滲出。
現在市面上有很多工具可提供對特權賬戶的額外限制,這些特權訪問管理系統各有不同,并可用來增強上述控制。除了這些系統,限制特權賬戶數量、監控特權賬戶活動、確保問責制、職責分離和保護敏感數據就已足夠。
限制特權賬戶
限制特權賬戶很多時候取決于IT組織的規模,管理員越多,企業就越容易根據最小權限來限制訪問。在小團體中,每個人都履行不同的職責,限制訪問更具挑戰性。然而,如果沒有問責制或監控,特權用戶可能會誤入歧途。這里有三種類型的控制:
· 預防性控制:讓特權賬戶只能訪問用戶負責的系統和緩解。
· 檢測性控制:確保特權賬戶活動是全面且安全的,并由使用管理員無法訪問的SIEM或系統日志服務器來監控。
· 糾正性控制:確保部署足夠的備份和恢復控制,以在特權用戶濫用的情況下,讓系統回復到正常狀態。
企業可使用這些控制或者適當組合這些控制來有效控制特權賬戶。安全以及對特權賬戶的控制不一定是繁重或破壞性的,深思熟慮的拓撲結構、訪問權限、監控和恢復程序可減少特權用戶風險,并允許他們履行自己的工作職責。
京公網安備 11010502049343號