保护计算机和网络,“特权”的概念必不可少。完整的可见性和控制。攻击者自然很清楚这一点。根据最新调查数据,在过去一年的所有严重网络攻击中,超过80%使用特权帐户。特权账户应用中的常见错误研究人员发现,在实际应用中,许多特权账户用户不知道或不了解遵守网络安全系统的重要性,往往为了简化或加快日常工作流程而忽视安全后果。很多企业在特权账户的应用和管理中普遍存在以下误区:1、对特权账户的保护不够重视特权账户的保护并不完全是指数据的分类保护和账户的登录认证。事实上,随着企业IT环境的不断变化,特权账户本身的归属也在不断变化。当发生人员调动,使用不同的系统时,特权账户的使用会发生变化。如果处理不当,会出现内部人员账户权限过大、僵尸特权账户等问题,留下内外部安全隐患。此外,密码是保护特权帐户免遭非法使用的关键。安全管理密码的建议很多,比如使用复杂的密码,定期更新密码,但很少有人愿意去做。2、没有使用MFA认证机制。多重身份验证(MFA)是当前企业网络安全保护策略中的黄金标准。该技术通过在身份验证过程中添加更多验证层,更好地保护敏感数据免遭未经授权的访问。但是,一些特权用户会为了操作方便而违反规则禁用额外的认证措施,因为他们可能觉得等待密码验证是浪费时间。如果没有MFA,组织将失去对其敏感数据的关键保护层。因此,组织需要对所有用户严格执行多措施身份验证策略。3.违反特权账户共享特权账户只能授予需要的人,特权只有在网络安全管理人员批准后才能存在。但在实际工作中,特权账户凭证经常被运维人员违规共享滥用。另一个常见的场景是团队共享一个特权帐户来管理相关的应用程序、网站或云存储服务,因为创建多个特权帐户需要经过多个审批流程。管理特权帐户时,可见性至关重要。如果两个或更多人使用同一个特权帐户,就无法分辨谁做了什么。因此,一旦发生安全事件,无法判断谁该负责。4.特权账户的过度使用当特权账户的使用频率超过工作所需时,会增加组织的脆弱性。正确的做法是区分特权账户和普通账户,严禁使用特权账户执行日常工作任务。然而,即使企业将这种做法作为其安全管理策略的明确要求,特权用户也往往会忽略或破坏它。在这种情况下,请考虑部署密码管理工具。这样的工具将帮助企业限制访问特权帐户的时间,并强制用户退出具有更高权限的帐户。5.忽视网络安全政策无论公司的网络安全管理系统中有什么规定,都可能有人不遵守。特别是在一些中小企业,很多员工认为我们的IT系统没有那么复杂,我们的企业不值得被攻击,所以不需要那么多的安全防护。然而,当今的网络攻击无孔不入。虽然看起来没有太大的好处,但由于中小企业缺乏足够的安全保护,攻击更容易实现。因此,企业应重视并加强网络安全意识培训,使特权用户养成遵守组织安全政策的工作习惯。加强特权账户管理的建议保护特权账户对于防止网络攻击至关重要。安全研究人员对企业特权账户管理提出以下建议:充分了解所有特权账户:企业特权账户管理的第一步是了解该组织有多少特权账户。研究数据显示,企业中特权账户的数量往往是普通账户的3-4倍。显然,完全掌握存在哪些特权帐户是一项非常复杂的工作。监控特权账户的变化:企业的人员在不断变化,企业的IT环境也在不断变化。企业需要根据人员和IT环境的变化,跟踪每个特权账户是否还需要保留之前的权限。同时,监控账户权限的变化也可以防止特权账户的异常使用。限制特权账户的权限:需要遵循的安全原则之一就是“最小特权原则”。因此,不能无限制地赋予特权帐户不必要的管理权限。从特权账户的建立开始,就需要对权利的使用进行合理的限制。定期整理所有账户资产:企业需要定期系统地整理所有账户资产。特权帐户不仅限于个人帐户。一些应用系统本身也是特权实体,在企业的生产经营过程中会不断变化和增加。企业需要定期整理自己所有的信息资产,并对与资产相关的所有权限进行整理和管理。部署完整的防御技术解决方案:每个企业的IT环境不同,企业需要根据自身需求部署特权账户安全防御技术手段。企业需要与专业的特权账户安全保护服务商合作,结合企业特点的应用需求和实际网络环境,打造适合企业的特权账户管理解决方案。特权帐户监控的最佳实践1.实施全面的特权用户监控用户活动监控是资源密集型的。由于要监控的用户越多,消耗的资源就越多,因此许多组织选择部分监控,重点关注特定类型的数据、系统、事件和活动。但对于特权账户管理,必须密切关注所有特权用户的一举一动。可以选择以光格式记录数据的解决方案,包括屏幕截图或视频记录。2.拒绝“影子”管理员权限用户通常能够将他们拥有的某些权限分配给其他用户。然而,以这种方式分配权限并不总是得到适当的监控和管理。与管理员具有相同访问权限但不包含在监控管理组中的帐户(例如域管理员)通常被称为“影子”管理员。因此,确保对所有特权帐户的完全可见性对于保持组织网络安全至关重要。重要的是不仅要注意特权帐户的活动,还要注意它们的创建和删除以避免创建新的“影子”管理员。3.重视特权账户的共享一些企业为了简化管理流程,会共享特权账户,无意中引入了网络安全风险。虽然共享特权帐户很方便,但它阻碍了用户活动监控和审计的过程,因为不使用特定工具很难区分用户行为。二级用户身份验证措施可用于清楚地区分共享帐户的所有用户,同时有效地审计和监控他们的活动。4.注意未经批准的远程登录。组织中远程工作的员工越多,相关的安全问题就越多。如果特权用户可以远程访问公司网络上的敏感信息,请考虑使用远程桌面监控软件监控他们的访问。此外,企业还需要制定严格的规则,规定哪些系统和数据可以远程登录,建立应用白名单。5.禁止修改日志和记录根据权限级别,某些特权用户可能能够修改或删除各种日志和记录。组织可以通过仅向特定角色或严格限制的用户组授予权限来解决此问题。但是在选择特权用户行为监控方案时,选择默认禁止修改日志或报表的方案。只有这样才能保证日志记录不被篡改。6、注意特权用户的异常情况。“披着羊皮的狼”难掩狼性!合法特权用户的行为与恶意用户的行为截然不同。用户和实体行为分析(UEBA)是一种用于检测网络用户异常行为的技术。它为系统中的每个用户或实体构建基线行为配置文件。然后根据这些配置文件分析用户和实体活动,并将正常活动与异常(可能可疑)活动区分开来。7.定期网络安全培训组织安全意识培训对于有效监控特权用户很重要。不具备适当的网络安全知识的用户可能不了解监控他们的必要性,甚至可能试图欺骗或破坏已实施的安全工具和策略。提高员工的网络安全意识可以减少特权用户犯错的次数,使他们更加了解授予他们的特权,并增加他们遵守公司既定网络安全程序的意愿。此外,当员工知道如何识别网络安全威胁时,他们更有可能注意到可疑活动并进行报告。8.持续监控最后,不应将特权用户监控(PUM)视为一次性的、分阶段的工作。如果仅定期执行用户活动监控,则无法确保用户操作的完全可见性或妥善保护关键数据。PUM是一个需要持续改进的持续过程。确保特权用户监控和管理流程的持续改进,并通过PUM最佳实践和尖端技术解决方案来增强它们。参考链接:https://www.ekransystem.com/en/blog/inadvertent-privileged-user-mistakeshttps://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices
