乌马河| 武昌| 乌什| 莱山| 古浪| 新津| 肇东| 右玉| 范县| 焦作| 长清| 正安| 日照| 霍城| 大城| 龙井| 伊宁市| 五莲| 丰顺| 上蔡| 伊宁市| 金沙| 托里| 洮南| 屯昌| 绛县| 保德| 双阳| 梅里斯| 密山| 高雄市| 固镇| 乌达| 浦城| 贾汪| 福泉| 西华| 徐州| 安庆| 永寿| 安龙| 思茅| 剑川| 昭平| 文昌| 明光| 东西湖| 八达岭| 湾里| 竹溪| 南城| 同江| 长海| 阜新市| 聊城| 连平| 洛阳| 固镇| 平房| 神农架林区| 衡南| 印江| 齐齐哈尔| 科尔沁右翼中旗| 周口| 南芬| 宜州| 横县| 普格| 余干| 阜康| 济南| 佳木斯| 乌兰| 厦门| 汕尾| 宁蒗| 灌南| 宜章| 饶阳| 晋中| 福清| 普宁| 佛冈| 汪清| 鄂温克族自治旗| 和顺| 毕节| 堆龙德庆| 祁县| 襄汾| 靖远| 简阳| 北碚| 乌马河| 瓮安| 类乌齐| 监利| 五营| 岢岚| 武宣| 东川| 嘉兴| 开县| 屏山| 尼玛| 明水| 鹤壁| 海口| 乐昌| 洱源| 柏乡| 松原| 东乡| 浏阳| 旬邑| 柳州| 顺德| 正阳| 绵阳| 泾川| 府谷| 宾县| 永胜| 托克逊| 乡宁| 日土| 嘉兴| 札达| 平顶山| 尼木| 吴桥| 德格| 景泰| 衢江| 沧县| 界首| 高安| 巴东| 新野| 邢台| 西安| 靖安| 登封| 汝城| 德格| 新郑| 承德县| 石屏| 项城| 昌江| 调兵山| 曲江| 长子| 大安| 巴里坤| 崇礼| 安西| 兴隆| 郫县| 方城| 桐柏| 辉南| 曲沃| 肇源| 曲沃| 香港| 玉树| 范县| 海晏| 连江| 鹤峰| 丽水| 汉川| 东光| 突泉| 垦利| 范县| 五寨| 尖扎| 峨眉山| 甘肃| 龙岩| 青白江| 柘荣| 衡东| 潜山| 头屯河| 玉龙| 翼城| 中牟| 曲江| 潜山| 陵县| 界首| 昌都| 伊宁市| 融安| 犍为| 泊头| 横县| 林口| 临川| 沁源| 东川| 昌平| 孝义| 莫力达瓦| 商都| 和静| 天山天池| 双鸭山| 嘉禾| 中山| 聂拉木| 防城港| 通渭| 池州| 稻城| 岱山| 纳雍| 南丹| 普陀| 六枝| 苗栗| 察哈尔右翼前旗| 天津| 隆尧| 安龙| 思茅| 丰南| 祁门| 通河| 关岭| 潞西| 山东| 扎囊| 鄂州| 阿克陶| 喀喇沁左翼| 锡林浩特| 长汀| 宜君| 平阴| 含山| 武威| 富阳| 南雄| 新乡| 得荣| 固镇| 灌云| 南沙岛| 延寿| 德清| 玉屏| 张家川| 重庆| 新蔡| 隆化| 九江市| 中阳| 临桂| 石棉| 美高梅娱乐网址
|
|
51CTO旗下网站
|
|
移动端
创建专栏

一篇文章了解特权账户安全

对于攻击者而言,在最初的攻击当中,目标都是获取尽可能高权限的账号。同时,安全专家也估计,在他们进行调查的严重网络攻击事件中有80%到“几乎全部”都在攻击过程的某个环节利用了特权账户。

作者:星云|2019-01-19 10:04

保护特权账号安全对于减少攻击的影响至关重要。

特权账号安全

对于每一个黑客而言,一般都有如下的典型攻击模式:收集攻击对象信息、嗅探以及发现攻击路径、对目标进行攻击并且获取接入权限、给自己的接入账号进行提权——当然,如果能直接获取特权账号就事半功倍了。因此,对于攻击者而言,在最初的攻击当中,目标都是获取尽可能高权限的账号,这样就能在目标系统中不受限地进行各种操作,达成自己的目的。同时,安全专家也估计,在他们进行调查的严重网络攻击事件中有80%到“几乎全部”都在攻击过程的某个环节利用了特权账户。

典型的保护特权账号安全的流程

可以发现,特权账号的保护是不得不注意的一点。在大部分企业对于信息的保护以及账号保护的方案,一般都基于以下几点:

  • 对不同敏感度的信息分类,并且进行不同深度的保护。
  • 对不同权限的账户,能查阅、修改不同的信息。
  • 对账户进行各种认证保护。

这些措施都是非常正确,并且是必须实行的。但是,我们需要意识到的是,如果特权账户无法获得适当的保护,以上的保护可能都会被绕过变得形同虚设。

然而,绝大部分企业对特权账户的保护有以下几个很大的误区与问题:

  • 对特权账户保护不够重视:正如之前说的一样,保护特权账户并不完全包含在对数据的分类保护、对账户的登录认证这些方面——尽管很多管理者那么认为。事实上,由于企业的IT环境在不断变化,特权账户的归属本身也在不断变化。当发生人事调动,以及使用了不同的系统时,特权账户的使用情况会发生变化,一旦不进行妥善处理,就会留下内部人员账户权限过大以及僵尸特权账号的问题,从而留下内部以及外部的安全隐患。
  • 特权账户只是针对人的:也会有管理者认为特权账户的管理只是针对人员的,因此,只要从规范上对人进行足够的安全保护以及教育,就能做好特权账户的保护。事实上,特权账户的保护,除了与人相关,也与软件相关:不同的软件、应用、服务在相互之间交互的时候,也需要通过账户进行,因此对于企业在日常运营、开发过程中,也会产生各类特权账号。
  • 不知道自己有多少特权账户:基于以上两点,大部分的企业很多时候对特权账户的管理是十分混乱的:他们不知道自己有哪些特权账户、这些特权账户都能做些什么、这些特权账户都在哪里。如今很多攻击者往往有极高的耐心,他们会静静地潜伏在企业的系统,甚至直接潜伏在企业中数周到数月,发现以及等待对特权账户的攻击机会——企业却不知道自己到底有哪些特权账户,那有如何发现以及防护自己的企业呢?
  • 我们不需要那么多的防御:很多中小企业会认为:自己的IT系统没那么复杂、攻击者更倾向于攻击油水丰厚的大企业。结论则是,自己不需要那么多的安全防护。但是,攻击者是无孔不入的;而且,他们尤其喜欢中小企业——虽然看上去获得的利益没有大型企业那么多,但是因为很多时候中小企业对自身缺乏足够的安全防护,使得攻击更容易达成。而我们也在开头提到了,无论是从攻击者角度,还是从安全专家角度来看,获取特权账户是在攻击流程中几乎必然发生的一个环节。

我们该做什么?

特权账户的防御往往是保护数据泄露的最后一道防线。安全专家们给企业的特权账户管理提出了以下几个建议:

  • 了解自己有哪些特权账户:我们一直在强调:要保护一样东西,首先要知道自己有多少这些东西,而他们又在哪里、以怎样的形式存在着。企业对特权账户管理的第一步就是要知道自己有哪些特权账户:自己各个系统的root账户、自己的应用账号、自己的各类凭证。有一个数据可能会出乎很多人的意料:一个企业的特权账户数量是普通账户数量的3到4倍。显然,知道自己有哪些特权账户远比管理自己的普通账户复杂。
  • 监控特权账户的变化:企业的人员在不断变化,企业的IT环境也在不断变化。企业需要根据人员与IT环境的变化追踪每个特权账户是否依然有必要保留之前的权限。当发生环境变化时,不仅仅要给原有的账户根据其新角色加上新的权限,也要根据新的角色取消原有的权限。另一方面,针对账户的权限变化进行监控,也能防止异常的账户权限变化——比如攻击者将自身的账户进行提权进行进一步攻击的行为。
  • 限制特权账户的权限:安全需要遵守的原则之一是“最小权限原则”——即对人、系统给与的权限只需要满足该实体需要执行自己任务的最低的权限即可。因此,特权账户并不可以被无限制地延伸自己的权限,从特权账户建立的时间开始,就需要对其能进行的权限进行限制。
  • 定期整理自己的资产与账户:即使有完善的管理,在整个执行的过程中,依然难免会产生一些疏漏。因此,企业需要定期对自己的资产与账户进行整体的整理。再次强调,特权账户并不局限于对应人的账号上,某些系统、应用本身也是带有特权的实体——而他们也属于企业的特权账户,也是企业的信息资产——而资产本身在企业的生产和运营过程中会不断改变和增加,企业需要定期整理自己的信息资产,并且对自身的信息资产的权限进行整理与管理。
  • 部署合适的防御方案:了解自己的特权账户是为了管理以及——防御。企业需要针对性地部署自己特权账户的安全方案。但是,每家企业的IT环境都会因为自身的业务有所不同,因此企业需要根据自己的需求进行特权账户进行防御的部署。这里并不是说企业需要完全进行个性化的安全解决方案,而是需要和专门的特权账户安全供应商合作,在企业特性需求以及网络环境的基础上,打造最适合企业的体系。

对特权账户使用高信任度认证方式:这是很显然的行为,越高权限的账户需要越安全的认证方式。单纯的账号密码组合是绝对不足的,运用短信等多因子验证已经逐渐成为一种趋势。

谁来提供解决方案?

要达成这些目标,显然是不能完全使用人力进行,也不建议使用其他安全系统来作为替代品。最好的方式是用专门的PAM(Privileged Access Management,特权账户管理)工具进行管理——包括特权的给予、提升以及降权等行为。一款优秀的PAM系统不仅仅能够满足以上对特权账户管理的需求,同时也能引导企业建立自身的特权账户管理方案。无论是大型企业,还是中小企业,都需要尽快规划自己对特权账户管理的策略。如果对PAM工具以及厂商不是特别熟悉,下方是最新(2018年12月)Gartner的PAM魔力象限图,可以从象限中参考适合自己的厂商。

在2018年6月Gartner曾经提出2018年的十大网络安全项目,其中特权账号安全被列为第一项的安全重点项目。由此,Gartner在2018年底正式发布了“特权账号安全领域”魔力象限评测。

从领导者的象限上来看,这四家厂商各有各的优势。CyberArk有相当的技术积累以及历史的公司,其在PAM上的产品线与功能相当全面;BeyondTrust则有能和资产与漏洞管理相结合,快速减少威胁面的能力;Centrify提供远程第三方特权账号解决方案,从而不需要再使用VPN;CA Technologies则拥有最好的PSM(Print Services Manager)以及对AWS的准时化特权过滤的支持。

但是,在选择的时候,我们也需要意识到,PAM如今的主要市场在北美和欧洲。比如在Gartner的魔力象限中就提到,Centrify的主要支持都在北美,因此如果主要使用地区在国内,Centrify可能无法提供最有效的支持。当然,也有厂商在开拓亚洲市场,比如CyberArk就在帮助国内企业,打造适合他们的特权账户安全解决方案。企业在选择厂商的时候也需要考虑自己部署的地理位置以及能否获得最直接的技术支持。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

【编辑推荐】

  1. 安全意识专题 | 无线网络安全管理建议
  2. 2019年网络安全的9个预测
  3. 五步应用NIST网络安全框架
  4. Akamai:网络攻击的防御需要边缘技术来弥补
  5. 2018年网络安全大事记
【责任编辑:赵宁宁 TEL:(010)68476606】

点赞 0
大家都在看
猜你喜欢
龙湾区 陈咀镇 蛟塘镇 水市镇 惠州
后塘村 若羌县 兴中路 承留镇 久山大厦
冒险丛林 现金炸金花 澳门百老汇娱乐注册 澳门永利注册 威尼斯人官网
澳门葡京 永利娱乐游戏 捕鱼游戏 百家乐网页游戏 葡京注册
澳门威尼斯人平台 澳门百老汇官网注册 游戏排行榜 澳门大富豪赌博官网 明升网站
澳门威尼斯人官网 MG电子游戏 澳门大发888官网 梦幻老虎机 mg电子注册送59元
老虎机定位器 澳门大富豪网址 现金三公注册网址 牛牛游戏下载 现金骰宝 年度十大电子游戏 大小点游戏 玩什么游戏可以挣钱 电子游戏厅 方法奇葩赌博网 巴黎人网站 pt电子游戏哪个最会爆 澳门巴黎人游戏 澳门龙虎斗注册 澳门大富豪网站 押大小排行 真钱打牌 明升网站 十三水技巧 电子游戏下载 二十一点平台 现金网游戏开户平台 澳门百老汇游戏官网 皇博压大小 真钱捕鱼 跑马机游戏 赌博技巧 巴比伦赌场官网 现金三公 地下网址 捕鱼游戏技巧 英皇网站 手机玩游戏赚钱平台 现金网排行 pt电子游戏注册 赌博技巧 电脑玩游戏赚钱平台 海立方游戏 ag电子游戏排行 希尔顿官网 太阳网上压大小 现金赌钱游戏 现金棋牌游戏 真人网站网址 地下开户 九五至尊娱乐网址 澳门梭哈游戏官网 奇葩袖赌博网 鸿胜国际压大小 博狗扑克游戏 德州扑克游戏规则 庄闲代理 奔驰宝马老虎机下载 现金三公开户注册 免费试玩电子游戏 GT压大小 新濠天地注册 现金老虎机网站 纸牌赌博种类 乐天堂开户 澳门永利平台 电脑版捕鱼达人 玩电子游戏入门 斗牛游戏 bbin压大小 网上电子游戏网址 澳门网络下注平台 明升国际网址 明升娱乐 捕鱼达人电子游戏 mg电子游戏试玩 二十一点游戏赌场 澳门万利赌场官网 大小对比网站 现金电子游戏 电子游戏实用技术 老虎机破解器 澳门梭哈官网 澳门百老汇赌场注册 千炮捕鱼兑换现金 网上合法赌场 PT电子游戏 波克棋牌官方下载 天天棋牌 凤凰棋牌 美少女战士电子游戏 什么游戏可以赚人民币 银河国际娱乐 澳门番摊官网 澳门梭哈官网 胜博发电子游戏 电子游戏打鱼机 澳门现金网 大三巴网站 PT电子游戏 澳门银河国际娱乐