“特权”的概念对于保护计算机和网络而言是不可或缺的,主要存在与维护网络和系统的管理员帐户中,具有对数据和信息系统的完全可见性和控制权。攻击者自然也十分清楚这一点。据最新的调查数据显示,在最近一年所有发生的严重网络攻击事件中,超过80%的攻击者利用了特权账户。
特权账户应用的常见错误
研究人员发现,在实际应用中,很多特权账户的使用者并不知道或不理解遵守网络安全制度的重要性,往往为了简化或加快日常工作流程,而忽视了安全后果。很多企业在特权账户的应用和管理中,存在以下常见的错误:
1.对特权账户保护不够重视
保护特权账户并不完全是指对数据的分类保护、对账户的登录认证这些方面。事实上,由于企业的IT环境在不断变化,特权账户的归属本身也在不断变化。当发生人事调动,以及使用了不同的系统时,特权账户的使用情况会发生变化,一旦不进行妥善处理,就会留下内部人员账户权限过大以及僵尸特权账号的问题,从而留下内部以及外部的安全隐患。
此外,密码是保护特权账户不被非法使用的关键,有很多安全管理密码的建议,比如使用复杂的密码和定期更新密码,但很少有人愿意去做。
2.未使用MFA验证机制
多因素身份验证(MFA)是目前企业网络安全防护策略中的黄金标准。这项技术通过在身份验证过程中添加更多的验证层,可以更好地保护敏感数据免受未经授权的访问。但是,一些特权用户为了操作方便,会违规禁用额外的身份验证措施,因为他们可能觉得等待验证密码是浪费时间。如果没有MFA,企业的敏感数据将失去一层关键性的保护。因此,组织需要严格要求对所有用户实施多种措施结合的身份验证策略。
3.特权账号的违规共享
特权账号应该只授予那些需要它们的人,并且获得网络安全管理者批准后,特权才能存在。但在现实工作中,特权账户凭据却常常被运维人员违规共享和滥用。另一种常见的情况是,一个团队共享一个特权帐户来管理相关应用程序、网站或云存储服务,因为创建多个特权帐户将需要经历多次审批流程。在对特权账户进行管理时,可见性是必不可少的。如果有两个或更多的人使用同一个特权帐户,将无法分辨到底谁做了什么。因此,一旦发生了安全事件,也无法判断该由谁来负责。
4.过度使用特权账号
当特权帐户的使用频率超过工作所需时,就会增加组织的脆弱性。正确的做法是将特权帐户与普通帐户区分开来,并且严禁用特权帐户执行日常性工作任务。但是,即便企业将此实践定为安全管理策略的明确要求,特权用户也有往往会忽略或破坏它。在这种情况下,可以考虑部署密码管理工具。这样的工具会帮助企业限制特权帐户的访问时间,并强制用户注销具有更高特权的帐户。
5.忽视网络安全政策
无论企业的网络安全管理制度中制定了什么规则,都可能会有人不遵守这些规则。特别在一些中小型企业中,很多员工会认为:我们的IT系统没那么复杂,我们的企业没有被攻击的价值,因此不需要那么多的安全防护。然而,今天的网络攻击是无孔不入的,虽然看上去获益不大,但是因为中小企业缺乏足够的安全防护,因此攻击更容易达成。因此,企业应该重视并加强网络安全意识培训,使特权用户养成遵守组织安全政策的工作习惯。
加强特权账户管理的建议
保护特权账号安全对于防范网络攻击至关重要。安全研究人员给企业的特权账户管理提出了以下几个建议:
- 充分了解所有的特权账户:企业对特权账户管理的第一步就是要知道组织究竟有多少特权账户。研究数据显示,一个企业中的特权账户数量往往是普通账户数量的3-4倍。显然,要充分掌握有哪些特权账户是一件非常复杂的工作。
- 监控特权账户的变化:企业的人员在不断变化,企业的IT环境也在不断变化。企业需要根据人员与IT环境的变化追踪每个特权账户是否依然有必要保留之前的权限。同时,针对账户的权限变化进行监控,也能防止异常的特权账户使用行为。
- 限制特权账户的权限:安全需要遵守的原则之一是“最小权限原则”。因此,特权账户并不可以被无限制地赋予不需要的管理权限,从特权账户建立开始,就需要对其进行合理的权限使用限制。
- 定期整理所有的账户资产:企业需要定期对自己的所有账户资产进行系统整理。特权账户并不局限于人的账号,一些应用系统本身也是带有特权的实体,其在企业的生产和运营过程中也会不断改变和增加,企业需要定期整理自己的所有信息资产,并且对和资产相关的所有权限进行整理与管理。
- 部署完善的防御技术方案:每家企业的IT环境都有所不同,因此企业需要根据自己的需求进行特权账户安全防御的技术手段部署。企业需要和专门的特权账户安全防护服务商合作,在企业特性应用需求以及实际网络环境的基础上,打造适合企业的特权账号管理方案。
特权账户监控的最佳实践
1.实现全面的特权用户监控
用户活动监视是资源密集型的。由于要监视的用户越多,所耗费的资源就越多,因此许多组织都选择部分监控,只关注特定类型的数据、系统、事件和活动。但对特权账户管理来说,必须密切关注所有特权用户的每一个行动。可以选择一种以轻格式记录数据的解决方案,包括截图或视频记录。
2.拒绝“影子”管理员
特权用户通常能够将自己拥有的某些特权分配给其他用户。但是,以这种方式分配特权并不总能得到适当的监视和管理。具有与管理员相同访问权限但不包含在监控管理组中的帐户(例如域管理员)通常称为“影子”管理员。因此,确保对所有特权帐户的完全可见性对于确保组织的网络安全至关重要。重要的是,不仅要注意特权帐户的活动,还要注意它们的创建和删除,要避免其创建新的“影子”管理员。
3.密切关注特权账户的共享
一些企业会共享特权帐户来简化他们的管理工作流程,从而无意中将网络安全风险引入。尽管共享特权账户很方便,但却阻碍了用户活动监控和审计的过程,因为如果不使用特定的工具,就很难区分用户的行为。可以利用辅助用户身份验证措施,清楚地区分共享帐户的所有用户,同时有效地审计和监控他们的活动。
4.注意未经批准的远程登录
企业中远程工作的员工越多,相关的安全问题也会越多。如果特权用户可以远程访问企业网络中的敏感信息,请考虑通过远程桌面监控软件来监控他们的访问行为。另外,企业需要设置严格的规则,指定允许远程登录哪些系统和数据,并创建应用白名单。
5.禁止修改日志和记录
根据权限级别的不同,某些特权用户可能能够修改或删除各种日志和记录。企业可以通过仅向特定角色或严格限制的用户组赋予权限,来解决这个问题。但是在选择特权用户行为监控解决方案时,要选择默认情况下禁止修改日志或报告的解决方案,只有这样才能保证日志记录不会被篡改。
6.注意特权用户的异常情况
“披着羊皮的狼”也难掩狼的本性!合法特权用户的行为与恶意人员的使用行为有很大不同。用户和实体行为分析(UEBA)是一项用于检测网络用户异常行为的技术。它为系统中的每个用户或实体构建一个基线行为概要。然后,基于这些概要文件分析用户和实体活动,并将正常活动与异常(潜在可疑)活动进行区分。
7.定期进行网络安全培训
组织安全意识培训对于有效监控特权用户非常重要。没有适当的网络安全知识的用户可能不理解监控它们的必要性,甚至可能试图欺骗或破坏所实施的安全工具和策略。提高员工的网络安全意识可以减少特权用户的犯错次数,使他们更加注意赋予他们的特权,并增加他们遵守公司建立的网络安全程序的意愿。此外,当知道如何识别网络安全威胁时,员工也更有可能注意到可疑活动并上报。
8.不间断地监控
最后,特权用户监控(PUM)不应被视为一次性、阶段性的工作。如果仅定期执行用户活动监控,则无法确保用户操作的完全可见性或正确保护关键数据。PUM是一个持续的过程,需要不断改进。确保不断改进特权用户监视和管理过程,并使用PUM最佳实践和尖端技术解决方案增强它们。
参考链接:
https://www.ekransystem.com/en/blog/inadvertent-privileged-user-mistakes
https://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices