特权访问是指具有业务系统权限的人对业务系统进行配置更改或访问业务数据等行为。是集中管控特权访问分散、混乱现状的有效解决方案,实现特权身份和访问权限的集中管理,并全程实时记录访问行为,为事后安全审计提供有力依据。1.特权访问下的安全风险特权访问是指具有业务系统权限的人对业务系统进行配置更改,或访问和操作业务数据。特权访问行为可以控制组织资源、修改安全策略、访问大量敏感数据,往往与系统运维操作相关。系统运维访问操作是最典型的特权访问行为。例如,在Linux系统上以root权限登录系统,修改系统参数,停止核心业务服务,或进行系统关机操作;或以管理员权限登录交换机修改交换机路由配置、添加访问白名单、允许外部用户访问内部敏感系统和数据等。特权访问具有保密性强、可执行权限高、范围广等特点影响。特权访问往往存在以下安全风险:冒用特权身份、滥用访问权限、管理混乱、缺乏有效的安全审计、不符合安全监管要求、数据传输泄露、威胁分析能力不足2、数据安全建议特权访问会分散混乱集中统一管控特权访问现状是实现特权身份和访问权限集中管理,并全程实时记录访问行为的有效解决方案,提供强有力的事后安全审计的证据。绿盟科技提出以下四点安全建议,以提高特权访问的安全性。建议1——特权身份集中管理(1)主账户集中管理将具有特权身份的自然人抽象定义为主账户,将所有可访问的业务系统账户的密码信息抽象定义为从账户。统一管理所有主账号和从账号是特权访问管理的先决条件。通常采用三权分立原则对主账号进行管理,主账号分为三类角色和权限:特权身份管理员、特权审核员、系统维护员。其中,特权身份管理员负责创建、编辑、分配权限、注销主账号。一系列全生命周期管理;特权审计员负责对主账户的操作行为和二级账户的使用情况进行审计分析,并对审计结果进行统计报告;系统维护员负责特权身份管理系统的配置、更新和维护等工作。三级权限相互制约,防止特权权限监管出现真空。同时,结合双因素或多因素认证方式对主账户进行认证,解决特权身份混用和冒用问题,也为安全事件识别和规则提供可靠依据。引入身份认证保护机制,如暴力破解密码锁定登录、静默会话自动退出、无法重复使用密码、账号密码信息加密存储等安全机制,保护主账号信息。(2)从账户的集中管理上,将所有业务系统抽象定义为目标设备。集中管理目标设备中的所有从账号,形成从账号分布全景图,相当于管理着访问企业信息资产金库的“金钥匙”。基于全景图管理“金钥匙”的分发和使用,同时做好定期巡检工作,及时发现企业内未被管理的目标设备和从属账号信息。例如,通过SSO(单点登录)技术,主账号的用户也可以在不知道从账号密码的情况下访问业务系统和数据。定期扫描IDC机房存活的业务系统,发现从账号信息。定期检查从属账号和密码状态,及时发现异常情况,保管好这把“金钥匙”。例如,定期验证从账号密码的有效性,可以及时发现从账号密码泄露或被盗,发现特权访问时擅自更改密码的操作行为。定期修改二级账户密码,使密码满足强密码规范要求,解决二级账户密码泄露、被盗问题。定期检测从属账号状态,可以及时发现非法植入的幽灵(后门)账号、孤儿(长期未使用)账号等员工离职后未及时注销的异常从属账号。对于核心业务系统的“金钥匙”,最好能对认证机制进行改造升级,升级为双因素认证方式(即支持已知因素和未知因素的双因素认证),例如,通过固定密码和动态密码相结合的方式,从账户识别上进行认证,可以彻底解决密码丢失、被盗和定期更新等问题。建议2——访问权限的集中控制(1)最小访问权限原则将访问权限尽可能划分到最小粒度,只授予特权访问所需的最小权限集,集中分配特权访问权限,形成一个特权访问权限全景图,清晰描述哪些自然人可以访问哪些业务系统,有哪些访问权限,尽量减少滥用特权或越权特权访问的情况发生。例如,数据库根据查询和编辑权限分为user1和user2两类账号。当只需要查询操作时,分配usr1即可,防止误删数据。权限也可以根据服务器应用特性,如文件服务器,分为上传和下载权限进行管理和控制。(2)金库模式在接入高价值业务系统和高风险操作时,应采用实时金库模式进行管控,即配置“操作-监管”双岗模式对特权进行管理准入,实现高价值业务系统。高危操作“一审一审”、“一操作一批”,准入操作流程实时管理。例如,在访问网络边界的出入口交换机和防火墙时,修改访问控制配置或重新启动设备运行时,应进行操作批准和确认。建议3——集中安全审计全流程事后分析的主要内容是,谁在什么时间、什么地点对哪个业务系统进行了什么操作,有什么权限。可以进一步完善到运营商谁管理,谁导入到运维环境中,事件中业务系统的监管单位或负责人是谁,访问权限分配是否合理,由谁来管理。分配和审查访问权限,以及进行了哪些调整。这些问题都可以通过安全审计被完整记录下来。事后分析更重要的是能够完整还原事件过程,准确评估事件的风险和损失。建议4——数据加密与威胁分析(1)通信协议加密保护加密数据是解决网络嗅探和监控的最佳方式。对特权访问通信的数据流进行加密,可以有效防止因监听和流量还原而导致的数据泄露。例如文件传输FTP协议更新为SFTP,TELNET更新为SSH,VNC更新为RDP等。(2)威胁分析与检测。业务系统被权限访问后留下的数据是否对业务系统的稳定性、业务核心组件的安全性有很大影响,是否存在安全威胁?这些问题一直困扰着管理员和CISO。由于特权访问的隐私性强,传统的安全检测手段(如IDS、网络审计或安全沙箱等)很难发现安全威胁。在传统安全检测技术的基础上加入协议代理或数据摆渡技术,可以有效解决特权访问过程中的数据威胁分析,提高数据安全能力。3.小结在特权访问行为的全过程中,预特权身份标识形成“一人一角色一账号”,即一个自然人属于一类角色,使用一个账号,防止冒用和盗用。混合使用身份;事件访问权限集中管理,依托“一图一原则一模式”,即访问权限全景图,“最小权限”原则和“运营-监督”模式,改变权限管理模式;运后安全审计构成“一人一操作一记录”,即任何自然人的任何操作行为都有记录,提高了事件分析和追溯能力;持续保护运维数据,分析威胁,防止数据泄露,发现安全威胁。它使特权访问管理变被动为主动,有效提高企业或组织的效益。【本文为专栏作者《NSFO科技博客》原创稿件,转载请联系原作者获得授权】点此查看该作者更多好文
