特權賬戶應用的常見錯誤與防護建議

「特權」的概念對於保護計算機和網路而言是不可或缺的,主要存在與維護網路和系統的管理員帳戶中,具有對資料和資訊系統的完全可見性和控制權。攻擊者自然也十分清楚這一點。據最新的調查資料顯示,在最近一年所有發生的嚴重網路攻擊事件中,超過80%的攻擊者利用了特權賬戶。

特權賬戶應用的常見錯誤

研究人員發現,在實際應用中,很多特權賬戶的使用者並不知道或不理解遵守網路安全制度的重要性,往往為了簡化或加快日常工作流程,而忽視了安全後果。很多企業在特權賬戶的應用和管理中,存在以下常見的錯誤:

01

對特權賬戶保護不夠重視

保護特權賬戶並不完全是指對資料的分類保護、對賬戶的登入認證這些方面。事實上,由於企業的IT環境在不斷變化,特權賬戶的歸屬本身也在不斷變化。當發生人事調動,以及使用了不同的系統時,特權賬戶的使用情況會發生變化,一旦不進行妥善處理,就會留下內部人員賬戶許可權過大以及殭屍特權賬號的問題,從而留下內部以及外部的安全隱患。

此外,密碼是保護特權賬戶不被非法使用的關鍵,有很多安全管理密碼的建議,比如使用複雜的密碼和定期更新密碼,但很少有人願意去做。

02

未使用MFA驗證機制

多因素身份驗證(MFA)是目前企業網路安全防護策略中的黃金標準。這項技術通過在身份驗證過程中添加更多的驗證層,可以更好地保護敏感資料免受未經授權的訪問。但是,一些特權使用者為了操作方便,會違規禁用額外的身份驗證措施,因為他們可能覺得等待驗證密碼是浪費時間。如果沒有MFA,企業的敏感資料將失去一層關鍵性的保護。因此,組織需要嚴格要求對所有使用者實施多種措施結合的身份驗證策略。

03

特權賬號的違規共享

特權賬號應該只授予那些需要它們的人,並且獲得網路安全管理者批准後,特權才能存在。但在現實工作中,特權賬戶憑據卻常常被運維人員違規共享和濫用。另一種常見的情況是,一個團隊共享一個特權帳戶來管理相關應用程序、網站或雲儲存服務,因為創建多個特權帳戶將需要經歷多次審批流程。在對特權賬戶進行管理時,可見性是必不可少的。如果有兩個或更多的人使用同一個特權帳戶,將無法分辨到底誰做了什麼。因此,一旦發生了安全事件,也無法判斷該由誰來負責。

04

過度使用特權賬號

當特權帳戶的使用頻率超過工作所需時,就會增加組織的脆弱性。正確的做法是將特權帳戶與普通帳戶區分開來,並且嚴禁用特權帳戶執行日常性工作任務。但是,即便企業將此實踐定為安全管理策略的明確要求,特權使用者也有往往會忽略或破壞它。在這種情況下,可以考慮部署密碼管理工具。這樣的工具會幫助企業限制特權帳戶的訪問時間,並強制使用者註銷具有更高特權的帳戶。

05

忽視網路安全政策

無論企業的網路安全管理制度中制定了什麼規則,都可能會有人不遵守這些規則。特別在一些中小型企業中,很多員工會認為:我們的IT系統沒那麼複雜,我們的企業沒有被攻擊的價值,因此不需要那麼多的安全防護。然而,今天的網路攻擊是無孔不入的,雖然看上去獲益不大,但是因為中小企業缺乏足夠的安全防護,因此攻擊更容易達成。因此,企業應該重視並加強網路安全意識培訓,使特權使用者養成遵守組織安全政策的工作習慣。

加強特權賬戶管理的建議

保護特權賬號安全對於防範網路攻擊至關重要。安全研究人員給企業的特權賬戶管理提出了以下幾個建議:

  1. 充分了解所有的特權賬戶:企業對特權賬戶管理的第一步就是要知道組織究竟有多少特權賬戶。研究資料顯示,一個企業中的特權賬戶數量往往是普通賬戶數量的3-4倍。顯然,要充分掌握有哪些特權賬戶是一件非常複雜的工作。

  2. 監控特權賬戶的變化:企業的人員在不斷變化,企業的IT環境也在不斷變化。企業需要根據人員與IT環境的變化追蹤每個特權賬戶是否依然有必要保留之前的許可權。同時,針對賬戶的許可權變化進行監控,也能防止異常的特權賬戶使用行為。

  3. 限制特權賬戶的許可權:安全需要遵守的原則之一是「最小許可權原則」。因此,特權賬戶並不可以被無限制地賦予不需要的管理許可權,從特權賬戶建立開始,就需要對其進行合理的許可權使用限制。

  4. 定期整理所有的賬戶資產:企業需要定期對自己的所有賬戶資產進行系統整理。特權賬戶並不侷限於人的賬號,一些應用系統本身也是帶有特權的實體,其在企業的生產和運營過程中也會不斷改變和增加,企業需要定期整理自己的所有資訊資產,並且對和資產相關的所有許可權進行整理與管理。

  5. 部署完善的防禦技術方案:每家企業的IT環境都有所不同,因此企業需要根據自己的需求進行特權賬戶安全防禦的技術手段部署。企業需要和專門的特權賬戶安全防護服務商合作,在企業特性應用需求以及實際網路環境的基礎上,打造適合企業的特權賬號管理方案。

特權賬戶監控的最佳實踐

01

實現全面的特權使用者監控

使用者活動監視是資源密集型的。由於要監視的使用者越多,所耗費的資源就越多,因此許多組織都選擇部分監控,只關注特定類型的資料、系統、事件和活動。但對特權賬戶管理來說,必須密切關注所有特權使用者的每一個行動。可以選擇一種以輕格式記錄資料的解決方案,包括截圖或視訊記錄。

02

拒絕「影子」管理員

特權使用者通常能夠將自己擁有的某些特權分配給其他使用者。但是,以這種方式分配特權並不總能得到適當的監視和管理。具有與管理員相同訪問許可權但不包含在監控管理組中的帳戶(例如域管理員)通常稱為「影子」管理員。因此,確保對所有特權帳戶的完全可見性對於確保組織的網路安全至關重要。重要的是,不僅要注意特權帳戶的活動,還要注意它們的創建和刪除,要避免其創建新的「影子」管理員。

03

密切關注特權賬戶的共享

一些企業會共享特權帳戶來簡化他們的管理工作流程,從而無意中將網路安全風險引入。儘管共享特權賬戶很方便,但卻阻礙了使用者活動監控和審計的過程,因為如果不使用特定的工具,就很難區分使用者的行為。可以利用輔助使用者身份驗證措施,清楚地區分共享帳戶的所有使用者,同時有效地審計和監控他們的活動。

04

注意未經批准的遠端登入

企業中遠端工作的員工越多,相關的安全問題也會越多。如果特權使用者可以遠端訪問企業網路中的敏感資訊,請考慮通過遠端桌面監控軟體來監控他們的訪問行為。另外,企業需要設置嚴格的規則,指定允許遠端登入哪些系統和資料,並創建應用白名單。

05

禁止修改日誌和記錄

根據許可權級別的不同,某些特權使用者可能能夠修改或刪除各種日誌和記錄。企業可以通過僅向特定角色或嚴格限制的使用者組賦予許可權,來解決這個問題。但是在選擇特權使用者行為監控解決方案時,要選擇默認情況下禁止修改日誌或報告的解決方案,只有這樣才能保證日誌記錄不會被篡改。

06

注意特權使用者的異常情況

「披著羊皮的狼」也難掩狼的本性!合法特權使用者的行為與惡意人員的使用行為有很大不同。使用者和實體行為分析(UEBA)是一項用於檢測網路使用者異常行為的技術。它為系統中的每個使用者或實體構建一個基線行為概要。然後,基於這些概要檔案分析使用者和實體活動,並將正常活動與異常(潛在可疑)活動進行區分。

07

定期進行網路安全培訓

組織安全意識培訓對於有效監控特權使用者非常重要。沒有適當的網路安全知識的使用者可能不理解監控它們的必要性,甚至可能試圖欺騙或破壞所實施的安全工具和策略。提高員工的網路安全意識可以減少特權使用者的犯錯次數,使他們更加註意賦予他們的特權,並增加他們遵守公司建立的網路安全程序的意願。此外,當知道如何識別網路安全威脅時,員工也更有可能注意到可疑活動並上報。

08

不間斷地監控

最後,特權使用者監控(PUM)不應被視為一次性、階段性的工作。如果僅定期執行使用者活動監控,則無法確保使用者操作的完全可見性或正確保護關鍵資料。PUM是一個持續的過程,需要不斷改進。確保不斷改進特權使用者監視和管理過程,並使用PUM最佳實踐和尖端技術解決方案增強它們。

參考連結:

https://www.ekransystem.com/en/blog/inadvertent-privileged-user-mistakes

https://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices