IT基础设施的增长导致员工可以访问的凭据和资源数量急剧增加。每个组织都存储关键信息,这些信息构成了做出关键业务决策的基石。与特权用户共享这些数据可以授予他们访问普通员工没有的凭据的权限。如果特权帐户凭证落入不法分子之手,它们可能被滥用,造成不可逆转的损害。
在安全系统容易受到攻击的时代,不加强防御协议的后果可能会很严重,当特权账户受到外部网络攻击或遭到内部人员恶意的攻击时,业务就会陷入停滞,所以对于那些离开公司或在内部改变岗位的员工来说,撤销特权访问权也很重要。
由于特权滥用会造成严重的后果,因此越来越需要对特权帐户进行常规监控和管理,特权帐户如果不加以监控,可能会导致数据泄露、停机、法规遵从性审计失败和特权凭证暴露。
什么是特权用户帐户
特权用户帐户提供对关键业务信息和系统的访问,这些帐户通常属于内部员工,并且根据其访问权限级别通常具有非限制性权限。访问这些帐户的用户可以:
- 创建和修改用户帐户和权限
- 执行管理任务
- 进行系统和配置更改
- 访问关键和敏感数据
- 管理组织内的所有资源
特权用户帐户由于其更高的功能,更容易出现更大的安全风险。根据Verizon的数据泄露调查报告,61%的数据泄露涉及凭证,80%的滥用涉及特权凭证,这进一步说明了加强安全工作以保证特权帐户安全的重要性。
如何管理和审核特权帐户
打击网络攻击需要主动出击,而不是被动应对,监控和分析特权帐户活动可以防止对特权资源的破坏,通过审核特权帐户进行控制,组织可以领先一步,在威胁造成严重损害之前发现威胁。审核可确保所有特权资源遵守组织设置的PAM策略,它包括跟踪用户活动和特权资源的访问级别,以及生成异常行为的报告。
- 确定特权帐户及其访问权限级别
- 监控特权帐户用户活动
- 分析特权用户行为
- 生成特权用户会话的报告
确定特权帐户及其访问权限级别
持续发现特权资源是查看和控制特权帐户的关键。您必须盘点所有特权帐户及其有权访问的资源类型。发现 系统还必须定期检查特权用户是否:
- 经过身份验证和验证以访问特权帐户。
- 具有特权用户应具有的适当凭据,例如强密码。
- 仅具有其角色所需的访问权限。例如,特权用户可能需要对凭据的查看访问权限,但未被授予更改密码等关键控制。
监控特权帐户用户活动
识别具有提升访问权限的用户后,管理员可以跟踪和监控他们的活动,持续监控特权帐户可以发现任何滥用行为并防止黑客攻击企图。在跟踪活动的同时,系统管理员还:
- 监视特权用户对文件、资源和数据库的访问,密切关注关键操作,例如登录尝试和信息共享。
- 使用会话监控工具查看和回放录制内容,随时注意可疑活动。
- 收集并保存特权会话中的审核日志。
- 阻止和报告恶意操作尝试。
- 验证并授权对数据的更改。
分析特权用户行为
与典型用户行为的偏差可能表明即将到来的安全攻击,删除文件、对用户角色进行未经授权的更改以及访问超出其权限的信息等用户操作可能是灾难性的,SIEM工具检测超出规范的用户行为并通知管理员。它们可以帮助管理员防止来自不寻常来源的攻击,并优先考虑那些对您的组织构成最大风险的攻击。事件关联识别已保存日志中的威胁模式,并提供所有报告攻击的概述,这使系统管理员能够确定正确的行动方针,以处理即时的安全威胁。
生成特权用户会话的报告
根据累积的日志生成一致的报告,有助于系统管理员采取预防措施,防止将来发生类似的安全违规行为,它提供了所有用户活动的鸟瞰图,并突出显示偏离正常模式的行为。这些报告可以以多种格式导出,有助于取证调查。
一致地审核PAM可以让管理员在安全漏洞达到升级点之前监视、检测和响应它们,通过遵循这些步骤,建立一个整体的安全系统,并预测威胁,将能够加强整体网络安全态势,并保护特权用户帐户。
Password Manager Pro是基于web的特权账户管理解决方案。该解决方案能够存储、共享、管理、监视和审计组织中任何特权帐户的生命周期。例如帐户发现、强大的保管机制、粒度访问控制、自动密码重置、SSL证书生命周期管理、用户活动审计和安全远程访问,所有这些功能都内置在一个平台中,是确保IT环境中特权帐户安全所需的解决方案。