特權(quán)賬戶(hù)應(yīng)用的常見(jiàn)錯(cuò)誤與防護(hù)建議
“特權(quán)”的概念對(duì)于保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)而言是不可或缺的,主要存在與維護(hù)網(wǎng)絡(luò)和系統(tǒng)的管理員帳戶(hù)中,具有對(duì)數(shù)據(jù)和信息系統(tǒng)的完全可見(jiàn)性和控制權(quán)。攻擊者自然也十分清楚這一點(diǎn)。據(jù)最新的調(diào)查數(shù)據(jù)顯示,在最近一年所有發(fā)生的嚴(yán)重網(wǎng)絡(luò)攻擊事件中,超過(guò)80%的攻擊者利用了特權(quán)賬戶(hù)。
特權(quán)賬戶(hù)應(yīng)用的常見(jiàn)錯(cuò)誤
研究人員發(fā)現(xiàn),在實(shí)際應(yīng)用中,很多特權(quán)賬戶(hù)的使用者并不知道或不理解遵守網(wǎng)絡(luò)安全制度的重要性,往往為了簡(jiǎn)化或加快日常工作流程,而忽視了安全后果。很多企業(yè)在特權(quán)賬戶(hù)的應(yīng)用和管理中,存在以下常見(jiàn)的錯(cuò)誤:
1.對(duì)特權(quán)賬戶(hù)保護(hù)不夠重視
保護(hù)特權(quán)賬戶(hù)并不完全是指對(duì)數(shù)據(jù)的分類(lèi)保護(hù)、對(duì)賬戶(hù)的登錄認(rèn)證這些方面。事實(shí)上,由于企業(yè)的IT環(huán)境在不斷變化,特權(quán)賬戶(hù)的歸屬本身也在不斷變化。當(dāng)發(fā)生人事調(diào)動(dòng),以及使用了不同的系統(tǒng)時(shí),特權(quán)賬戶(hù)的使用情況會(huì)發(fā)生變化,一旦不進(jìn)行妥善處理,就會(huì)留下內(nèi)部人員賬戶(hù)權(quán)限過(guò)大以及僵尸特權(quán)賬號(hào)的問(wèn)題,從而留下內(nèi)部以及外部的安全隱患。
此外,密碼是保護(hù)特權(quán)賬戶(hù)不被非法使用的關(guān)鍵,有很多安全管理密碼的建議,比如使用復(fù)雜的密碼和定期更新密碼,但很少有人愿意去做。
2.未使用MFA驗(yàn)證機(jī)制
多因素身份驗(yàn)證(MFA)是目前企業(yè)網(wǎng)絡(luò)安全防護(hù)策略中的黃金標(biāo)準(zhǔn)。這項(xiàng)技術(shù)通過(guò)在身份驗(yàn)證過(guò)程中添加更多的驗(yàn)證層,可以更好地保護(hù)敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪(fǎng)問(wèn)。但是,一些特權(quán)用戶(hù)為了操作方便,會(huì)違規(guī)禁用額外的身份驗(yàn)證措施,因?yàn)樗麄兛赡苡X(jué)得等待驗(yàn)證密碼是浪費(fèi)時(shí)間。如果沒(méi)有MFA,企業(yè)的敏感數(shù)據(jù)將失去一層關(guān)鍵性的保護(hù)。因此,組織需要嚴(yán)格要求對(duì)所有用戶(hù)實(shí)施多種措施結(jié)合的身份驗(yàn)證策略。
3.特權(quán)賬號(hào)的違規(guī)共享
特權(quán)賬號(hào)應(yīng)該只授予那些需要它們的人,并且獲得網(wǎng)絡(luò)安全管理者批準(zhǔn)后,特權(quán)才能存在。但在現(xiàn)實(shí)工作中,特權(quán)賬戶(hù)憑據(jù)卻常常被運(yùn)維人員違規(guī)共享和濫用。另一種常見(jiàn)的情況是,一個(gè)團(tuán)隊(duì)共享一個(gè)特權(quán)帳戶(hù)來(lái)管理相關(guān)應(yīng)用程序、網(wǎng)站或云存儲(chǔ)服務(wù),因?yàn)閯?chuàng)建多個(gè)特權(quán)帳戶(hù)將需要經(jīng)歷多次審批流程。在對(duì)特權(quán)賬戶(hù)進(jìn)行管理時(shí),可見(jiàn)性是必不可少的。如果有兩個(gè)或更多的人使用同一個(gè)特權(quán)帳戶(hù),將無(wú)法分辨到底誰(shuí)做了什么。因此,一旦發(fā)生了安全事件,也無(wú)法判斷該由誰(shuí)來(lái)負(fù)責(zé)。
4.過(guò)度使用特權(quán)賬號(hào)
當(dāng)特權(quán)帳戶(hù)的使用頻率超過(guò)工作所需時(shí),就會(huì)增加組織的脆弱性。正確的做法是將特權(quán)帳戶(hù)與普通帳戶(hù)區(qū)分開(kāi)來(lái),并且嚴(yán)禁用特權(quán)帳戶(hù)執(zhí)行日常性工作任務(wù)。但是,即便企業(yè)將此實(shí)踐定為安全管理策略的明確要求,特權(quán)用戶(hù)也有往往會(huì)忽略或破壞它。在這種情況下,可以考慮部署密碼管理工具。這樣的工具會(huì)幫助企業(yè)限制特權(quán)帳戶(hù)的訪(fǎng)問(wèn)時(shí)間,并強(qiáng)制用戶(hù)注銷(xiāo)具有更高特權(quán)的帳戶(hù)。
5.忽視網(wǎng)絡(luò)安全政策
無(wú)論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則,都可能會(huì)有人不遵守這些規(guī)則。特別在一些中小型企業(yè)中,很多員工會(huì)認(rèn)為:我們的IT系統(tǒng)沒(méi)那么復(fù)雜,我們的企業(yè)沒(méi)有被攻擊的價(jià)值,因此不需要那么多的安全防護(hù)。然而,今天的網(wǎng)絡(luò)攻擊是無(wú)孔不入的,雖然看上去獲益不大,但是因?yàn)橹行∑髽I(yè)缺乏足夠的安全防護(hù),因此攻擊更容易達(dá)成。因此,企業(yè)應(yīng)該重視并加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn),使特權(quán)用戶(hù)養(yǎng)成遵守組織安全政策的工作習(xí)慣。
加強(qiáng)特權(quán)賬戶(hù)管理的建議
保護(hù)特權(quán)賬號(hào)安全對(duì)于防范網(wǎng)絡(luò)攻擊至關(guān)重要。安全研究人員給企業(yè)的特權(quán)賬戶(hù)管理提出了以下幾個(gè)建議:
- 充分了解所有的特權(quán)賬戶(hù):企業(yè)對(duì)特權(quán)賬戶(hù)管理的第一步就是要知道組織究竟有多少特權(quán)賬戶(hù)。研究數(shù)據(jù)顯示,一個(gè)企業(yè)中的特權(quán)賬戶(hù)數(shù)量往往是普通賬戶(hù)數(shù)量的3-4倍。顯然,要充分掌握有哪些特權(quán)賬戶(hù)是一件非常復(fù)雜的工作。
- 監(jiān)控特權(quán)賬戶(hù)的變化:企業(yè)的人員在不斷變化,企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個(gè)特權(quán)賬戶(hù)是否依然有必要保留之前的權(quán)限。同時(shí),針對(duì)賬戶(hù)的權(quán)限變化進(jìn)行監(jiān)控,也能防止異常的特權(quán)賬戶(hù)使用行為。
- 限制特權(quán)賬戶(hù)的權(quán)限:安全需要遵守的原則之一是“最小權(quán)限原則”。因此,特權(quán)賬戶(hù)并不可以被無(wú)限制地賦予不需要的管理權(quán)限,從特權(quán)賬戶(hù)建立開(kāi)始,就需要對(duì)其進(jìn)行合理的權(quán)限使用限制。
- 定期整理所有的賬戶(hù)資產(chǎn):企業(yè)需要定期對(duì)自己的所有賬戶(hù)資產(chǎn)進(jìn)行系統(tǒng)整理。特權(quán)賬戶(hù)并不局限于人的賬號(hào),一些應(yīng)用系統(tǒng)本身也是帶有特權(quán)的實(shí)體,其在企業(yè)的生產(chǎn)和運(yùn)營(yíng)過(guò)程中也會(huì)不斷改變和增加,企業(yè)需要定期整理自己的所有信息資產(chǎn),并且對(duì)和資產(chǎn)相關(guān)的所有權(quán)限進(jìn)行整理與管理。
- 部署完善的防御技術(shù)方案:每家企業(yè)的IT環(huán)境都有所不同,因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)賬戶(hù)安全防御的技術(shù)手段部署。企業(yè)需要和專(zhuān)門(mén)的特權(quán)賬戶(hù)安全防護(hù)服務(wù)商合作,在企業(yè)特性應(yīng)用需求以及實(shí)際網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上,打造適合企業(yè)的特權(quán)賬號(hào)管理方案。
特權(quán)賬戶(hù)監(jiān)控的最佳實(shí)踐
1.實(shí)現(xiàn)全面的特權(quán)用戶(hù)監(jiān)控
用戶(hù)活動(dòng)監(jiān)視是資源密集型的。由于要監(jiān)視的用戶(hù)越多,所耗費(fèi)的資源就越多,因此許多組織都選擇部分監(jiān)控,只關(guān)注特定類(lèi)型的數(shù)據(jù)、系統(tǒng)、事件和活動(dòng)。但對(duì)特權(quán)賬戶(hù)管理來(lái)說(shuō),必須密切關(guān)注所有特權(quán)用戶(hù)的每一個(gè)行動(dòng)。可以選擇一種以輕格式記錄數(shù)據(jù)的解決方案,包括截圖或視頻記錄。
2.拒絕“影子”管理員
特權(quán)用戶(hù)通常能夠?qū)⒆约簱碛械哪承┨貦?quán)分配給其他用戶(hù)。但是,以這種方式分配特權(quán)并不總能得到適當(dāng)?shù)谋O(jiān)視和管理。具有與管理員相同訪(fǎng)問(wèn)權(quán)限但不包含在監(jiān)控管理組中的帳戶(hù)(例如域管理員)通常稱(chēng)為“影子”管理員。因此,確保對(duì)所有特權(quán)帳戶(hù)的完全可見(jiàn)性對(duì)于確保組織的網(wǎng)絡(luò)安全至關(guān)重要。重要的是,不僅要注意特權(quán)帳戶(hù)的活動(dòng),還要注意它們的創(chuàng)建和刪除,要避免其創(chuàng)建新的“影子”管理員。
3.密切關(guān)注特權(quán)賬戶(hù)的共享
一些企業(yè)會(huì)共享特權(quán)帳戶(hù)來(lái)簡(jiǎn)化他們的管理工作流程,從而無(wú)意中將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)引入。盡管共享特權(quán)賬戶(hù)很方便,但卻阻礙了用戶(hù)活動(dòng)監(jiān)控和審計(jì)的過(guò)程,因?yàn)槿绻皇褂锰囟ǖ墓ぞ撸秃茈y區(qū)分用戶(hù)的行為。可以利用輔助用戶(hù)身份驗(yàn)證措施,清楚地區(qū)分共享帳戶(hù)的所有用戶(hù),同時(shí)有效地審計(jì)和監(jiān)控他們的活動(dòng)。
4.注意未經(jīng)批準(zhǔn)的遠(yuǎn)程登錄
企業(yè)中遠(yuǎn)程工作的員工越多,相關(guān)的安全問(wèn)題也會(huì)越多。如果特權(quán)用戶(hù)可以遠(yuǎn)程訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)中的敏感信息,請(qǐng)考慮通過(guò)遠(yuǎn)程桌面監(jiān)控軟件來(lái)監(jiān)控他們的訪(fǎng)問(wèn)行為。另外,企業(yè)需要設(shè)置嚴(yán)格的規(guī)則,指定允許遠(yuǎn)程登錄哪些系統(tǒng)和數(shù)據(jù),并創(chuàng)建應(yīng)用白名單。
5.禁止修改日志和記錄
根據(jù)權(quán)限級(jí)別的不同,某些特權(quán)用戶(hù)可能能夠修改或刪除各種日志和記錄。企業(yè)可以通過(guò)僅向特定角色或嚴(yán)格限制的用戶(hù)組賦予權(quán)限,來(lái)解決這個(gè)問(wèn)題。但是在選擇特權(quán)用戶(hù)行為監(jiān)控解決方案時(shí),要選擇默認(rèn)情況下禁止修改日志或報(bào)告的解決方案,只有這樣才能保證日志記錄不會(huì)被篡改。
6.注意特權(quán)用戶(hù)的異常情況
“披著羊皮的狼”也難掩狼的本性!合法特權(quán)用戶(hù)的行為與惡意人員的使用行為有很大不同。用戶(hù)和實(shí)體行為分析(UEBA)是一項(xiàng)用于檢測(cè)網(wǎng)絡(luò)用戶(hù)異常行為的技術(shù)。它為系統(tǒng)中的每個(gè)用戶(hù)或?qū)嶓w構(gòu)建一個(gè)基線(xiàn)行為概要。然后,基于這些概要文件分析用戶(hù)和實(shí)體活動(dòng),并將正常活動(dòng)與異常(潛在可疑)活動(dòng)進(jìn)行區(qū)分。
7.定期進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
組織安全意識(shí)培訓(xùn)對(duì)于有效監(jiān)控特權(quán)用戶(hù)非常重要。沒(méi)有適當(dāng)?shù)木W(wǎng)絡(luò)安全知識(shí)的用戶(hù)可能不理解監(jiān)控它們的必要性,甚至可能試圖欺騙或破壞所實(shí)施的安全工具和策略。提高員工的網(wǎng)絡(luò)安全意識(shí)可以減少特權(quán)用戶(hù)的犯錯(cuò)次數(shù),使他們更加注意賦予他們的特權(quán),并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外,當(dāng)知道如何識(shí)別網(wǎng)絡(luò)安全威脅時(shí),員工也更有可能注意到可疑活動(dòng)并上報(bào)。
8.不間斷地監(jiān)控
最后,特權(quán)用戶(hù)監(jiān)控(PUM)不應(yīng)被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶(hù)活動(dòng)監(jiān)控,則無(wú)法確保用戶(hù)操作的完全可見(jiàn)性或正確保護(hù)關(guān)鍵數(shù)據(jù)。PUM是一個(gè)持續(xù)的過(guò)程,需要不斷改進(jìn)。確保不斷改進(jìn)特權(quán)用戶(hù)監(jiān)視和管理過(guò)程,并使用PUM最佳實(shí)踐和尖端技術(shù)解決方案增強(qiáng)它們。
參考鏈接:
??https://www.ekransystem.com/en/blog/inadvertent-privileged-user-mistakes??
??https://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices??
