信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

“特權(quán)”的概念對(duì)于保護(hù)計(jì)算機(jī)和網(wǎng)絡(luò)而言是不可或缺的，主要存在與維護(hù)網(wǎng)絡(luò)和系統(tǒng)的管理員帳戶中，具有對(duì)數(shù)據(jù)和信息系統(tǒng)的完全可見(jiàn)性和控制權(quán)。攻擊者自然也十分清楚這一點(diǎn)。據(jù)最新的調(diào)查數(shù)據(jù)顯示，在最近一年所有發(fā)生的嚴(yán)重網(wǎng)絡(luò)攻擊事件中，超過(guò)80%的攻擊者利用了特權(quán)賬戶。

特權(quán)賬戶應(yīng)用的常見(jiàn)錯(cuò)誤

研究人員發(fā)現(xiàn)，在實(shí)際應(yīng)用中，很多特權(quán)賬戶的使用者并不知道或不理解遵守網(wǎng)絡(luò)安全制度的重要性，往往為了簡(jiǎn)化或加快日常工作流程，而忽視了安全后果。很多企業(yè)在特權(quán)賬戶的應(yīng)用和管理中，存在以下常見(jiàn)的錯(cuò)誤：

01

對(duì)特權(quán)賬戶保護(hù)不夠重視

保護(hù)特權(quán)賬戶并不完全是指對(duì)數(shù)據(jù)的分類保護(hù)、對(duì)賬戶的登錄認(rèn)證這些方面。事實(shí)上，由于企業(yè)的IT環(huán)境在不斷變化，特權(quán)賬戶的歸屬本身也在不斷變化。當(dāng)發(fā)生人事調(diào)動(dòng)，以及使用了不同的系統(tǒng)時(shí)，特權(quán)賬戶的使用情況會(huì)發(fā)生變化，一旦不進(jìn)行妥善處理，就會(huì)留下內(nèi)部人員賬戶權(quán)限過(guò)大以及僵尸特權(quán)賬號(hào)的問(wèn)題，從而留下內(nèi)部以及外部的安全隱患。

此外，密碼是保護(hù)特權(quán)賬戶不被非法使用的關(guān)鍵，有很多安全管理密碼的建議，比如使用復(fù)雜的密碼和定期更新密碼，但很少有人愿意去做。

02

未使用MFA驗(yàn)證機(jī)制

多因素身份驗(yàn)證（MFA）是目前企業(yè)網(wǎng)絡(luò)安全防護(hù)策略中的黃金標(biāo)準(zhǔn)。這項(xiàng)技術(shù)通過(guò)在身份驗(yàn)證過(guò)程中添加更多的驗(yàn)證層，可以更好地保護(hù)敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)。但是，一些特權(quán)用戶為了操作方便，會(huì)違規(guī)禁用額外的身份驗(yàn)證措施，因?yàn)樗麄兛赡苡X(jué)得等待驗(yàn)證密碼是浪費(fèi)時(shí)間。如果沒(méi)有MFA，企業(yè)的敏感數(shù)據(jù)將失去一層關(guān)鍵性的保護(hù)。因此，組織需要嚴(yán)格要求對(duì)所有用戶實(shí)施多種措施結(jié)合的身份驗(yàn)證策略。

03

特權(quán)賬號(hào)的違規(guī)共享

特權(quán)賬號(hào)應(yīng)該只授予那些需要它們的人，并且獲得網(wǎng)絡(luò)安全管理者批準(zhǔn)后，特權(quán)才能存在。但在現(xiàn)實(shí)工作中，特權(quán)賬戶憑據(jù)卻常常被運(yùn)維人員違規(guī)共享和濫用。另一種常見(jiàn)的情況是，一個(gè)團(tuán)隊(duì)共享一個(gè)特權(quán)帳戶來(lái)管理相關(guān)應(yīng)用程序、網(wǎng)站或云存儲(chǔ)服務(wù)，因?yàn)閯?chuàng)建多個(gè)特權(quán)帳戶將需要經(jīng)歷多次審批流程。在對(duì)特權(quán)賬戶進(jìn)行管理時(shí)，可見(jiàn)性是必不可少的。如果有兩個(gè)或更多的人使用同一個(gè)特權(quán)帳戶，將無(wú)法分辨到底誰(shuí)做了什么。因此，一旦發(fā)生了安全事件，也無(wú)法判斷該由誰(shuí)來(lái)負(fù)責(zé)。

04

過(guò)度使用特權(quán)賬號(hào)

當(dāng)特權(quán)帳戶的使用頻率超過(guò)工作所需時(shí)，就會(huì)增加組織的脆弱性。正確的做法是將特權(quán)帳戶與普通帳戶區(qū)分開(kāi)來(lái)，并且嚴(yán)禁用特權(quán)帳戶執(zhí)行日常性工作任務(wù)。但是，即便企業(yè)將此實(shí)踐定為安全管理策略的明確要求，特權(quán)用戶也有往往會(huì)忽略或破壞它。在這種情況下，可以考慮部署密碼管理工具。這樣的工具會(huì)幫助企業(yè)限制特權(quán)帳戶的訪問(wèn)時(shí)間，并強(qiáng)制用戶注銷具有更高特權(quán)的帳戶。

05

忽視網(wǎng)絡(luò)安全政策

無(wú)論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則，都可能會(huì)有人不遵守這些規(guī)則。特別在一些中小型企業(yè)中，很多員工會(huì)認(rèn)為：我們的IT系統(tǒng)沒(méi)那么復(fù)雜，我們的企業(yè)沒(méi)有被攻擊的價(jià)值，因此不需要那么多的安全防護(hù)。然而，今天的網(wǎng)絡(luò)攻擊是無(wú)孔不入的，雖然看上去獲益不大，但是因?yàn)橹行∑髽I(yè)缺乏足夠的安全防護(hù)，因此攻擊更容易達(dá)成。因此，企業(yè)應(yīng)該重視并加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，使特權(quán)用戶養(yǎng)成遵守組織安全政策的工作習(xí)慣。

加強(qiáng)特權(quán)賬戶管理的建議

保護(hù)特權(quán)賬號(hào)安全對(duì)于防范網(wǎng)絡(luò)攻擊至關(guān)重要。安全研究人員給企業(yè)的特權(quán)賬戶管理提出了以下幾個(gè)建議：

充分了解所有的特權(quán)賬戶：企業(yè)對(duì)特權(quán)賬戶管理的第一步就是要知道組織究竟有多少特權(quán)賬戶。研究數(shù)據(jù)顯示，一個(gè)企業(yè)中的特權(quán)賬戶數(shù)量往往是普通賬戶數(shù)量的3-4倍。顯然，要充分掌握有哪些特權(quán)賬戶是一件非常復(fù)雜的工作。

監(jiān)控特權(quán)賬戶的變化：企業(yè)的人員在不斷變化，企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個(gè)特權(quán)賬戶是否依然有必要保留之前的權(quán)限。同時(shí)，針對(duì)賬戶的權(quán)限變化進(jìn)行監(jiān)控，也能防止異常的特權(quán)賬戶使用行為。

限制特權(quán)賬戶的權(quán)限：安全需要遵守的原則之一是“最小權(quán)限原則”。因此，特權(quán)賬戶并不可以被無(wú)限制地賦予不需要的管理權(quán)限，從特權(quán)賬戶建立開(kāi)始，就需要對(duì)其進(jìn)行合理的權(quán)限使用限制。

定期整理所有的賬戶資產(chǎn)：企業(yè)需要定期對(duì)自己的所有賬戶資產(chǎn)進(jìn)行系統(tǒng)整理。特權(quán)賬戶并不局限于人的賬號(hào)，一些應(yīng)用系統(tǒng)本身也是帶有特權(quán)的實(shí)體，其在企業(yè)的生產(chǎn)和運(yùn)營(yíng)過(guò)程中也會(huì)不斷改變和增加，企業(yè)需要定期整理自己的所有信息資產(chǎn)，并且對(duì)和資產(chǎn)相關(guān)的所有權(quán)限進(jìn)行整理與管理。

部署完善的防御技術(shù)方案：每家企業(yè)的IT環(huán)境都有所不同，因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)賬戶安全防御的技術(shù)手段部署。企業(yè)需要和專門的特權(quán)賬戶安全防護(hù)服務(wù)商合作，在企業(yè)特性應(yīng)用需求以及實(shí)際網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，打造適合企業(yè)的特權(quán)賬號(hào)管理方案。

特權(quán)賬戶監(jiān)控的最佳實(shí)踐

01

實(shí)現(xiàn)全面的特權(quán)用戶監(jiān)控

用戶活動(dòng)監(jiān)視是資源密集型的。由于要監(jiān)視的用戶越多，所耗費(fèi)的資源就越多，因此許多組織都選擇部分監(jiān)控，只關(guān)注特定類型的數(shù)據(jù)、系統(tǒng)、事件和活動(dòng)。但對(duì)特權(quán)賬戶管理來(lái)說(shuō)，必須密切關(guān)注所有特權(quán)用戶的每一個(gè)行動(dòng)?？梢赃x擇一種以輕格式記錄數(shù)據(jù)的解決方案，包括截圖或視頻記錄。

02

拒絕“影子”管理員

特權(quán)用戶通常能夠?qū)⒆约簱碛械哪承┨貦?quán)分配給其他用戶。但是，以這種方式分配特權(quán)并不總能得到適當(dāng)?shù)谋O(jiān)視和管理。具有與管理員相同訪問(wèn)權(quán)限但不包含在監(jiān)控管理組中的帳戶（例如域管理員）通常稱為“影子”管理員。因此，確保對(duì)所有特權(quán)帳戶的完全可見(jiàn)性對(duì)于確保組織的網(wǎng)絡(luò)安全至關(guān)重要。重要的是，不僅要注意特權(quán)帳戶的活動(dòng)，還要注意它們的創(chuàng)建和刪除，要避免其創(chuàng)建新的“影子”管理員。

03

密切關(guān)注特權(quán)賬戶的共享

一些企業(yè)會(huì)共享特權(quán)帳戶來(lái)簡(jiǎn)化他們的管理工作流程，從而無(wú)意中將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)引入。盡管共享特權(quán)賬戶很方便，但卻阻礙了用戶活動(dòng)監(jiān)控和審計(jì)的過(guò)程，因?yàn)槿绻皇褂锰囟ǖ墓ぞ?，就很難區(qū)分用戶的行為?？梢岳幂o助用戶身份驗(yàn)證措施，清楚地區(qū)分共享帳戶的所有用戶，同時(shí)有效地審計(jì)和監(jiān)控他們的活動(dòng)。

04

注意未經(jīng)批準(zhǔn)的遠(yuǎn)程登錄

企業(yè)中遠(yuǎn)程工作的員工越多，相關(guān)的安全問(wèn)題也會(huì)越多。如果特權(quán)用戶可以遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)中的敏感信息，請(qǐng)考慮通過(guò)遠(yuǎn)程桌面監(jiān)控軟件來(lái)監(jiān)控他們的訪問(wèn)行為。另外，企業(yè)需要設(shè)置嚴(yán)格的規(guī)則，指定允許遠(yuǎn)程登錄哪些系統(tǒng)和數(shù)據(jù)，并創(chuàng)建應(yīng)用白名單。

05

禁止修改日志和記錄

根據(jù)權(quán)限級(jí)別的不同，某些特權(quán)用戶可能能夠修改或刪除各種日志和記錄。企業(yè)可以通過(guò)僅向特定角色或嚴(yán)格限制的用戶組賦予權(quán)限，來(lái)解決這個(gè)問(wèn)題。但是在選擇特權(quán)用戶行為監(jiān)控解決方案時(shí)，要選擇默認(rèn)情況下禁止修改日志或報(bào)告的解決方案，只有這樣才能保證日志記錄不會(huì)被篡改。

06

注意特權(quán)用戶的異常情況

“披著羊皮的狼”也難掩狼的本性！合法特權(quán)用戶的行為與惡意人員的使用行為有很大不同。用戶和實(shí)體行為分析（UEBA）是一項(xiàng)用于檢測(cè)網(wǎng)絡(luò)用戶異常行為的技術(shù)。它為系統(tǒng)中的每個(gè)用戶或?qū)嶓w構(gòu)建一個(gè)基線行為概要。然后，基于這些概要文件分析用戶和實(shí)體活動(dòng)，并將正常活動(dòng)與異常（潛在可疑）活動(dòng)進(jìn)行區(qū)分。

07

定期進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)

組織安全意識(shí)培訓(xùn)對(duì)于有效監(jiān)控特權(quán)用戶非常重要。沒(méi)有適當(dāng)?shù)木W(wǎng)絡(luò)安全知識(shí)的用戶可能不理解監(jiān)控它們的必要性，甚至可能試圖欺騙或破壞所實(shí)施的安全工具和策略。提高員工的網(wǎng)絡(luò)安全意識(shí)可以減少特權(quán)用戶的犯錯(cuò)次數(shù)，使他們更加注意賦予他們的特權(quán)，并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外，當(dāng)知道如何識(shí)別網(wǎng)絡(luò)安全威脅時(shí)，員工也更有可能注意到可疑活動(dòng)并上報(bào)。

08

不間斷地監(jiān)控

最后，特權(quán)用戶監(jiān)控（PUM）不應(yīng)被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶活動(dòng)監(jiān)控，則無(wú)法確保用戶操作的完全可見(jiàn)性或正確保護(hù)關(guān)鍵數(shù)據(jù)。PUM是一個(gè)持續(xù)的過(guò)程，需要不斷改進(jìn)。確保不斷改進(jìn)特權(quán)用戶監(jiān)視和管理過(guò)程，并使用PUM最佳實(shí)踐和尖端技術(shù)解決方案增強(qiáng)它們。