IT基础设施的增长导致员工可以访问的凭据和资源的数量急剧增加,每个组织都存储关键信息,这些信息构成了做出关键业务决策的构建块,与特权用户共享这些数据可以授予他们访问普通员工没有的凭据的权限,如果特权帐户凭证落入不法分子之手,它们可能被恶意内部人员或不法分子滥用,对组织造成严重的损害。
由于特权滥用会造成如此严重的后果,因此越来越需要对特权帐户进行定期的监控和管理,特权帐户如果不加以监控,可能会导致数据泄露、停机、法规遵从性审计失败和特权凭证泄漏。
什么是特权帐户?
特权帐户提供对关键业务信息和系统的访问权限,这些帐户通常属于内部员工,并且根据其访问权限级别通常具有非限制性权限。访问这些帐户的用户可以:
- 创建和修改用户帐户和权限
- 执行管理任务
- 进行系统和配置变更
- 访问关键和敏感数据
- 管理组织内的所有资源
特权用户帐户由于其更高的权限,更容易出现更大的安全风险,根据Verizon最新的数据泄露调查报告,61%的数据泄露涉及凭证,80%的滥用涉及特权凭证。这进一步说明了加强安全工作以保证特权帐户安全的重要性。
如何保护这些具有提升权限的用户帐户?在安全系统容易受到威胁的时代,不加强防御协议可能是毁灭性的,当特权账户受到外部或遭到恶意内部人士的威胁时,业务就会陷入停滞,对于离开公司或在内部改变角色的员工,撤销特权访问权也很重要。
如何管理和审核特权帐户
打击网络威胁需要主动出击,而不仅仅是被动的应对,监控和分析特权帐户活动可以防止特权资源泄露,通过审核特权帐户来实施控制,组织可以领先一步,在威胁造成严重损害之前检测到威胁。审计可确保所有特权资源遵守组织设置的PAM策略,它包括跟踪用户活动和特权资源的访问级别,以及生成异常行为的报告。
如何开始审计特权帐户?以下是建立定期监控特权帐户的审计系统的关键步骤:
- 识别特权帐户及其访问权限级别
- 监控特权帐户用户活动
- 分析特权用户行为
- 生成有关特权用户会话的报告
识别特权帐户及其访问权限级别
持续发现特权资源是了解和控制特权帐户的关键,管理员必须清点所有特权账户及其有权访问的资源类型。发现系统还必须定期检查特权用户是否:
- 通过身份验证和确认可以访问特权帐户。
- 具有特权用户应有的适当凭证,例如强密码。
- 仅具有其角色所需的访问权限。例如,特权用户可能需要对凭证的查看访问权限,但未被授予更改密码等关键控制。
监控特权帐户用户活动
识别具有提升访问权限的用户后,管理员可以跟踪和监控他们的活动。不断监控特权帐户可以发现任何滥用和防止任何恶意企图。在跟踪活动的同时,系统管理员还可以:
- 监控特权用户对文件、资源和数据库的访问,密切关注关键操作,例如登录尝试和信息共享。
- 查看和回放记录与会话监控工具,留意可疑活动。
- 收集并保存特权会话的审核日志。
- 阻止并报告恶意操作尝试。
- 验证并授权对数据的变更。
分析特权用户行为
偏离典型用户行为可能表明安全威胁即将到来,文件删除、未经授权更改用户角色以及访问超出其权限的信息等用户操作可能会造成灾难性后果。 SIEM 工具可以检测超出规范的用户行为并通知管理员,可以防止来自异常来源的威胁,并确定对组织构成最大风险的威胁的优先级。事件关联识别已保存日志中的威胁模式,并提供所有已报告威胁的概述,这使系统管理员能够制定正确的操作方案来应对即时的安全威胁。
生成有关特权用户会话的报告
根据累积的日志生成一致的报告,有助于系统管理员采取预防措施,防止将来发生类似的安全违规行为。它提供了所有用户活动的鸟瞰图,并突出显示偏离正常模式的行为。这些报告可以以多种格式导出,有助于取证调查。
通过持续审核 PAM,管理员可以在安全威胁达到升级点之前对其进行监控、检测和响应。通过执行这些步骤,建立一个整体的安全系统,并预测威胁,能够加强整体网络安全态势并保护特权用户帐户。
Password Manager Pro是基于web的特权账户管理解决方案,能存储、共享、管理、监控和审核组织中任何特权帐户的生命周期。所有这些功能都内置在一个平台中,例如帐户发现、强大的保管机制、粒度访问控制、自动密码重置、SSL证书生命周期管理、用户活动审计和安全远程访问。
