监视和控制特权用户访问的最佳实践

已发表: 2016-11-10

随着数据泄露和数据泄露占据头条新闻,企业被迫在网络安全方面投入更多资金。 然而,虽然大多数公司不会腾出资源来保持其安全边界处于最新状态,但在保护内部威胁方面,它们往往表现不佳。

在许多情况下,您自己的员工最有机会破坏您的敏感数据并将其出售或用于进行欺诈。 特别危险的是拥有特权帐户的员工,这些帐户可以完全控制其系统并合法访问受限信息。 这些员工拥有滥用数据和可靠掩盖其踪迹所需的所有工具。 他们可以更改或删除日志文件,禁用监控软件,甚至在被抓到时将恶意行为视为错误。

在许多情况下,特权员工滥用数据与他们的实际日常活动没有区别。 所有这些都使得特权员工的数据泄露非常危险且难以被发现。

但内部威胁并不是特权帐户的唯一危险。 此类帐户可能会被黑客和您自己组织内的其他员工滥用或破坏。 例如,爱德华·斯诺登( Edward Snowden )通过简单地向同事询问其特权帐户的密码来获取敏感信息。 这意味着特权帐户安全问题非常广泛,唯一的答案是采用全面的控制和监控工具和策略。

但是如何监控特权用户呢? 下面我们将看看处理特权帐户的最佳实践,并尝试让您更好地了解特权帐户的安全性。 通过遵循这些建议并构建一个兼顾外部和内部威胁的整体安全系统,您将能够加强整体网络安全态势并彻底保护您的数据。

特权帐户管理的独特挑战源于这样一个事实,即此类帐户可以不受限制地访问任何内部系统或应用程序日志以及其他可以记录其操作的工具。 解决此类问题的最佳方法是使用外部监控工具以及强大的访问权限和密码策略,以彻底保护您的组织免受潜在的内部和外部威胁。

安全政策

特权用户管理和特权帐户的保护应该是您公司安全策略的一个组成部分。 您的正式安全政策应反映这一承诺,并用于详细描述与特权帐户相关的访问、终止和监控程序。

为你推荐:

元界将如何改变印度汽车业
资源

元界将如何改变印度汽车业

反暴利条款对印度初创企业意味着什么?
资源

反暴利条款对印度初创企业意味着什么?

Edtech 初创公司如何帮助提高技能并使劳动力为未来做好准备
资源

教育科技初创公司如何帮助印度的劳动力提高技能并为未来做好准备……

消息

本周新时代科技股:Zomato 的麻烦仍在继续,EaseMyTrip 发布强...

印度初创公司走捷径寻求资金
特征

印度初创公司走捷径寻求资金

据报道,数字营销初创公司 Logicserve Digital 从替代资产管理公司 Florintree Advisors 筹集了 80 卢比的资金。
消息

数字营销平台 Logicserve 获得 80 卢比的资金,更名为 LS Dig...

  • 最小特权原则:为了保护特权帐户,您应该做的第一件事是限制它们的数量。 最好的方法是默认为每个新用户分配尽可能低的权限级别,仅在必要时提升它们。 这样,只有真正需要它的用户才能访问特权帐户,并且您将确切知道他们是谁。
  • 识别特权帐户:清楚地识别和考虑您在组织中拥有的每个特权帐户非常重要。 这将允许进行更精确的风险评估,摆脱您不需要的帐户并保护您确实需要的所有帐户。

密码安全

密码是任何帐户最基本的保护形式。

完善的密码安全性和有关保存和更改密码的智能策略是良好访问控制的第一步。 关于密码管理和安全性,您应该遵循许多最佳实践。

  • 禁止密码共享:在不同帐户之间共享密码可能会使权限级别较低的员工获得对特权帐户的访问权限。 此外,如果这样的密码被泄露,它将危及所有使用它的帐户。 因此,良好的密码安全性的第一步是禁止任何密码共享,并确保每个帐户使用唯一的密码。
  • 使用强密码:使用易于记忆的简单密码总是很诱人。 它可以是通用的“123”或“admin”,也可以是员工宠物的名称。 对于犯罪者来说,此类密码很容易猜到,因此,将每个特权帐户拥有唯一的复杂密码作为安全策略的一部分非常重要。
  • 保护密码存储:如果您要存储任何密码,请确保文件已彻底加密并且永远不会以纯文本形式存储。 请记住,某些应用程序将以纯文本形式存储密码。 在这种情况下,您需要采取措施保护这些文件,或者开始使用更安全的替代方案。
  • 更改默认密码。 自动创建的通用管理帐户将具有通用密码,这通常是公共知识。 如果不更改此类密码,您就可以让犯罪者自由支配您的特权帐户。
  • 自动更改密码。 在一段时间后更改密码可能是一种非常好的安全做法。 但是,它会给用户带来一些不便,这就是为什么他们可能会忘记更改密码、推迟密码,甚至决定根本不更改密码。 最好采用自动系统,强制用户不时更改密码。 自动更改密码对于服务帐户也非常有用,其中密码更改应在多个应用程序之间同步。

访问安全

但是,访问安全性不仅仅是拥有可靠的密码。 对于有效的权限访问管理,采用适当的身份验证和终止程序至关重要。

  • 禁止帐户共享:与密码共享一样,帐户共享可能允许用户获得他们不应该拥有的权限。 这是应避免的安全责任。 此外,它可能会阻止您将行为与特定人员明确关联,如果发生内部攻击,可能会阻止您找到肇事者。
  • 使用二级身份验证:额外的身份验证措施可作为安全网,以防密码被泄露,并允许确认试图访问敏感信息的人的身份。 因此,特权帐户必须进行二次认证。 您可以通过不同的方式实现它,其中最简单的是使用智能手机或其他设备。 较大的公司可能希望使用更复杂的令牌系统来获得更好的保护。
  • 使用一次性登录:将永久特权授予永久不需要它们的用户是不安全的。 如果用户只是偶尔访问敏感数据或系统设置,最好为他们提供一次性凭据,该凭据可以在他们完成工作后自动终止。 这样,您可以确保特权帐户的数量保持有限,并且不再使用的帐户将被正确终止。
  • 制定终止程序:终止未使用的账户是特权账户管理的关键部分。 当员工离开公司或转移到不同的职位时,禁用他们的特权访问非常重要,否则他们可以利用它进行恶意行为。

监控

所有上述做法旨在控制特权用户访问并防止任何恶意活动的发生,无论是来自内部的东西,还是针对特权帐户的黑客攻击。

但是,检测特权帐户用户的数据泄露和数据滥用的最佳方法是采用专门的监控解决方案,该解决方案专门设计用于让您了解特权用户的行为。

  • 监控用户操作:重要的是不仅要监控用户对敏感数据的访问,还要记录用户对其所做的一切。 此类记录不仅有助于检测数据泄露,而且还可以有效警告用户不要滥用其凭据。 有几种方法可以记录用户操作,其中最先进的方法是对用户屏幕上发生的所有事情进行完整的视频录制。 许多解决方案还收集不同程度的附加元数据,可用于轻松搜索此类记录。
  • 清楚地识别用户:在监控用户操作时,确保他们可以清楚地与特定的人相关联。 这将帮助您在检测到违规行为后立即识别肇事者。
  • 确保监控软件受到保护:大多数特权帐户要么由 IT 专家使用,要么由精通技术的用户使用,他们可以轻松地在短时间内禁用监控以掩盖他们的踪迹。 因此,采用专为特权用户监控而设计的解决方案非常重要。 此类解决方案通常具有足够的保护,无法关闭或暂停监控。
  • 使用通知系统:如果您的公司有很多特权用户,那么实际上是不可能手动检查录像以检测可疑活动的。 虽然许多解决方案采用复杂且通常不是非常灵活的通知系统,但如果您想成功检测到攻击,您仍然绝对应该使用一个。 通常,您可以创建自己的一组通知,从而更有效地检测数据滥用。
  • 监控安全人员的行为:您的组织的安全性由您的安全专家维护,但他们也需要一些监督。 最好使用具有一些日志记录功能的监控工具,以确保您的安全人员没有滥用监控期间收集的数据。

结论

正如您从上面的列表中看到的那样,特权帐户可能非常难以处理,有时甚至是昂贵的,特别是如果您之前没有在这个方向上采取任何措施。 当涉及财务或个人信息时,监控和控制特权用户访问是合规要求的一部分,并成为公司的标准。

但是,并非每个具有足够访问权限和控制权以造成严重损害的特权帐户都包含在合规性法规中。

无论您的公司是否需要控制和监控特权帐户,遵循上述最佳实践肯定会增强您的安全性,并让您彻底保护您的公司免受与特权帐户相关的任何威胁。

[作者 Marcell Gogan 是 Ekransystem.com 的信息安全专家,喜欢撰写有关数据管理和网络安全的文章。]