監視和控制特權用戶訪問的最佳實踐

已發表: 2016-11-10

隨著數據洩露和數據洩露佔據頭條新聞,企業被迫在網絡安全方面投入更多資金。 然而,雖然大多數公司不會騰出資源來保持其安全邊界處於最新狀態,但在保護內部威脅方面,它們往往表現不佳。

在許多情況下,您自己的員工最有機會破壞您的敏感數據並將其出售或用於進行欺詐。 特別危險的是擁有特權帳戶的員工,這些帳戶可以完全控制其係統並合法訪問受限信息。 這些員工擁有濫用數據和可靠掩蓋其踪跡所需的所有工具。 他們可以更改或刪除日誌文件,禁用監控軟件,甚至在被抓到時將惡意行為視為錯誤。

在許多情況下,特權員工濫用數據與他們的實際日常活動沒有區別。 所有這些都使得特權員工的數據洩露非常危險且難以被發現。

但內部威脅並不是特權帳戶的唯一危險。 此類帳戶可能會被黑客和您自己組織內的其他員工濫用或破壞。 例如,愛德華·斯諾登( Edward Snowden )通過簡單地向同事詢問其特權帳戶的密碼來獲取敏感信息。 這意味著特權帳戶安全問題非常廣泛,唯一的答案是採用全面的控制和監控工具和策略。

但是如何監控特權用戶呢? 下面我們將看看處理特權帳戶的最佳實踐,並嘗試讓您更好地了解特權帳戶的安全性。 通過遵循這些建議並構建一個兼顧外部和內部威脅的整體安全系統,您將能夠加強整體網絡安全態勢並徹底保護您的數據。

特權帳戶管理的獨特挑戰源於這樣一個事實,即此類帳戶可以不受限制地訪問任何內部系統或應用程序日誌以及其他可以記錄其操作的工具。 解決此類問題的最佳方法是使用外部監控工具以及強大的訪問權限和密碼策略,以徹底保護您的組織免受潛在的內部和外部威脅。

安全政策

特權用戶管理和特權帳戶的保護應該是您公司安全策略的一個組成部分。 您的正式安全政策應反映這一承諾,並用於詳細描述與特權帳戶相關的訪問、終止和監控程序。

為你推薦:

元界將如何改變印度汽車業
資源

元界將如何改變印度汽車業

反暴利條款對印度初創企業意味著什麼?
資源

反暴利條款對印度初創企業意味著什麼?

Edtech 初創公司如何幫助提高技能並使勞動力為未來做好準備
資源

教育科技初創公司如何幫助印度的勞動力提高技能並為未來做好準備……

消息

本週新時代科技股:Zomato 的麻煩仍在繼續,EaseMyTrip 發布強...

印度初創公司走捷徑尋求資金
特徵

印度初創公司走捷徑尋求資金

據報導,數字營銷初創公司 Logicserve Digital 從替代資產管理公司 Florintree Advisors 籌集了 80 盧比的資金。
消息

數字營銷平台 Logicserve 獲得 80 盧比的資金,更名為 LS Dig...

  • 最小特權原則:為了保護特權帳戶,您應該做的第一件事是限制它們的數量。 最好的方法是默認為每個新用戶分配盡可能低的權限級別,僅在必要時提升它們。 這樣,只有真正需要它的用戶才能訪問特權帳戶,並且您將確切知道他們是誰。
  • 識別特權帳戶:清楚地識別和考慮您在組織中擁有的每個特權帳戶非常重要。 這將允許進行更精確的風險評估,擺脫您不需要的帳戶並保護您確實需要的所有帳戶。

密碼安全

密碼是任何帳戶最基本的保護形式。

完善的密碼安全性和有關保存和更改密碼的智能策略是良好訪問控制的第一步。 關於密碼管理和安全性,您應該遵循許多最佳實踐。

  • 禁止密碼共享:在不同帳戶之間共享密碼可能會使權限級別較低的員工獲得對特權帳戶的訪問權限。 此外,如果這樣的密碼被洩露,它將危及所有使用它的帳戶。 因此,良好的密碼安全性的第一步是禁止任何密碼共享,並確保每個帳戶使用唯一的密碼。
  • 使用強密碼:使用易於記憶的簡單密碼總是很誘人。 它可以是通用的“123”或“admin”,也可以是員工寵物的名稱。 對於犯罪者來說,此類密碼很容易猜到,因此,將每個特權帳戶擁有唯一的複雜密碼作為安全策略的一部分非常重要。
  • 保護密碼存儲:如果您要存儲任何密碼,請確保文件已徹底加密並且永遠不會以純文本形式存儲。 請記住,某些應用程序將以純文本形式存儲密碼。 在這種情況下,您需要採取措施保護這些文件,或者開始使用更安全的替代方案。
  • 更改默認密碼。 自動創建的通用管理帳戶將具有通用密碼,這通常是公共知識。 如果不更改此類密碼,您就可以讓犯罪者自由支配您的特權帳戶。
  • 自動更改密碼。 在一段時間後更改密碼可能是一種非常好的安全做法。 但是,它會給用戶帶來一些不便,這就是為什麼他們可能會忘記更改密碼、推遲密碼,甚至決定根本不更改密碼。 最好採用自動系統,強制用戶不時更改密碼。 自動更改密碼對於服務帳戶也非常有用,其中密碼更改應在多個應用程序之間同步。

訪問安全

但是,訪問安全性不僅僅是擁有可靠的密碼。 對於有效的權限訪問管理,採用適當的身份驗證和終止程序至關重要。

  • 禁止帳戶共享:與密碼共享一樣,帳戶共享可能允許用戶獲得他們不應該擁有的權限。 這是應避免的安全責任。 此外,它可能會阻止您將行為與特定人員明確關聯,如果發生內部攻擊,可能會阻止您找到肇事者。
  • 使用二級身份驗證:額外的身份驗證措施可作為安全網,以防密碼被洩露,並允許確認試圖訪問敏感信息的人的身份。 因此,特權帳戶必須進行二次認證。 您可以通過不同的方式實現它,其中最簡單的是使用智能手機或其他設備。 較大的公司可能希望使用更複雜的令牌系統來獲得更好的保護。
  • 使用一次性登錄:將永久特權授予永久不需要它們的用戶是不安全的。 如果用戶只是偶爾訪問敏感數據或系統設置​​,最好為他們提供一次性憑據,該憑據可以在他們完成工作後自動終止。 這樣,您可以確保特權帳戶的數量保持有限,並且不再使用的帳戶將被正確終止。
  • 制定終止程序:終止未使用的賬戶是特權賬戶管理的關鍵部分。 當員工離開公司或轉移到不同的職位時,禁用他們的特權訪問非常重要,否則他們可以利用它進行惡意行為。

監控

所有上述做法旨在控制特權用戶訪問並防止任何惡意活動的發生,無論是來自內部的東西,還是針對特權帳戶的黑客攻擊。

但是,檢測特權帳戶用戶的數據洩露和數據濫用的最佳方法是採用專門的監控解決方案,該解決方案專門設計用於讓您了解特權用戶的行為。

  • 監控用戶操作:重要的是不僅要監控用戶對敏感數據的訪問,還要記錄用戶對其所做的一切。 此類記錄不僅有助於檢測數據洩露,而且還可以有效警告用戶不要濫用其憑據。 有幾種方法可以記錄用戶操作,其中最先進的方法是對用戶屏幕上發生的所有事情進行完整的視頻錄製。 許多解決方案還收集不同程度的附加元數據,可用於輕鬆搜索此類記錄。
  • 清楚地識別用戶:在監控用戶操作時,確保他們可以清楚地與特定的人相關聯。 這將幫助您在檢測到違規行為後立即識別肇事者。
  • 確保監控軟件受到保護:大多數特權帳戶要么由 IT 專家使用,要么由精通技術的用戶使用,他們可以輕鬆地在短時間內禁用監控以掩蓋他們的踪跡。 因此,採用專為特權用戶監控而設計的解決方案非常重要。 此類解決方案通常具有足夠的保護,無法關閉或暫停監控。
  • 使用通知系統:如果您的公司有很多特權用戶,那麼實際上是不可能手動檢查錄像以檢測可疑活動的。 雖然許多解決方案採用複雜且通常不是非常靈活的通知系統,但如果您想成功檢測到攻擊,您仍然絕對應該使用一個。 通常,您可以創建自己的一組通知,從而更有效地檢測數據濫用。
  • 監控安全人員的行為:您的組織的安全性由您的安全專家維護,但他們也需要一些監督。 最好使用具有一些日誌記錄功能的監控工具,以確保您的安全人員沒有濫用監控期間收集的數據。

結論

正如您從上面的列表中看到的那樣,特權帳戶可能非常難以處理,有時甚至是昂貴的,特別是如果您之前沒有在這個方向上採取任何措施。 當涉及財務或個人信息時,監控和控制特權用戶訪問是合規要求的一部分,並成為公司的標準。

但是,並非每個具有足夠訪問權限和控制權以造成嚴重損害的特權帳戶都包含在合規性法規中。

無論您的公司是否需要控制和監控特權帳戶,遵循上述最佳實踐肯定會增強您的安全性,並讓您徹底保護您的公司免受與特權帳戶相關的任何威脅。

[作者 Marcell Gogan 是 Ekransystem.com 的信息安全專家,喜歡撰寫有關數據管理和網絡安全的文章。]