没有人愿意相信受信任的雇员或内部人员在滥用其特权账户来给企业造成破坏。但事实是,无论是为了经济利益、报复或意外事故,肇事者都拥有访问权限、知识、机会、时间来进行攻击,还可能知道如何不被发现。CISO有办法来部署控制以及分配特权账户,而不会影响工作人员履行岗位职责的能力。

特权账户带来的挑战

绝大多数系统管理员、网络工程师、技术支持人员、数据库管理人员和信息安全工程师认为,由于其工作的性质,他们需要全面而不受限制的特权访问。这里的挑战是,他们和企业非常依赖这种级别的访问权限,这很难改变。造成这种情况的原因包括:

1、在多个平台和组件特权账户通常是相同的。如果特权账户可以攻破一个平台,则会影响对整个环境的访问。

2、有些特权账户在管理员之间共享,从而影响问责制。

3、应用系统中嵌入式服务账户让其难以遵守安全策略规定的定期更改密码。

4、特权账户通常不是受相同的企业密码控制,因为担心在重要时刻他们可能被锁定而被拒绝访问。

5、糟糕的变更控制、无效的回收系统以及经常性紧急变更需要特权访问,以保持系统的可用性和性能水平。

6、小部分工作人员要求管理人员在网络、系统、应用、安全和数据库管理员水平填补冲突的工作职责。

限制特权账户

管理员需要比一般用户更高的访问权限来访问系统资源以完成其工作。例如,对网络设备配置的任何微小变化都会影响整个企业,限制访问权限可能不利于IT运营和系统可用性。但企业仍然通过职责分离、监控活动、变更控制要求、最小权限和问责制等基本控制来限制特权账户,这些控制包括:

1、限制特权账户的数量。

2、并非所有管理员需要域账户或对外部安全管理器的超级用户特权,例如大型机IBM的RACE、CA-ACF2或CA-Top Secret。

3、在分配特权账户时使用Active Directory Administrative Groups。

4、确保特权账户使用自己的账户,他们可以有特权账户,但他们应该使用一般用户账户,因为指定管理员才可拥有特权账户。

5、所有特权活动应该被记录,日志应该直接路由到SIEM,这样日志无法被删除或修改。

6、对于所有远程访问,管理员应该使用多因素身份验证。对于所有三层网络设备和关键任务子网时,应该需要代理或跳跃服务器以及AAA TACACS/RADIUS服务器来获得访问权限。

7、可由管理员访问的敏感数据应该进行加密以减小风险。

8、管理员密码应该由企业控制,并由Group Policy Object执行,而无一例外。

9、技术管理人员应执行定期账户认证,以确保是否仍然需要特权账户访问权限。

10、数据库管理员不需要域账户,他们需要访问权限来维护数据库、模式和执行数据库库重组。如果他们需要修改数据,应受到数据库监控。

11、使用防火墙VLAN、代理服务器和ACL来分隔网络,让管理员只能访问他们负责的系统。

12、信息安全账户需要规定安全结构,但他们不需要访问权限来读取或修改生产数据。这些账户因由SIEM监控,活动应进行管理审查。

13、技术管理员不应该有域账户,除非因为人员配备不足而需要。管理人员和信息安全人员应该监控特权账户活动。

14、使用数据丢失工具来监控网络、服务器、共享和端点的活动,以防数据泄露或渗出。

现在市面上有很多工具可提供对特权账户的额外限制,这些特权访问管理系统各有不同,并可用来增强上述控制。除了这些系统,限制特权账户数量、监控特权账户活动、确保问责制、职责分离和保护敏感数据就已足够。