在2019年6月的Gartner安全和风险管理峰会上,首席信息安全官(CISO)应该关注的十大安全项目再次表明,特权访问管理(PAM)是其中最重要的。
尽管业内权威一再提醒管理特权账户的重要性,许多特权帐户仍然未受到保护、不被重视或管理不善,使它们成为容易被***的目标。基于这些现实情况,本文列出了几条保护特权账户的最佳实践,仅供IT管理员和安全管理员参考实践。
- 自动发现特权账户,并对其进行集中化追踪
如果您想管理公司的特权账户,实现账户信息安全化,那么,首先要做的是,针对公司内部、外部网络上的全部关键资产、关联账户以及关联凭证进行有效的发现。随着公司发展的壮大、基础架构的扩展,您要保证IT团队具备超强的“发现”能力(即搜索发现资产信息),以便于应对特权账户的增多情况,对其进行持续的跟踪管理。一个能够完全自动化定期扫描网络、检测新账户,并登记管理的应用程序,将成为PAM(特权访问管理)最佳战略的组成部分。
- 安全集中存储特权账户
摒弃过去那种本地化、单独分散式的、需要由许多团队共同维护的数据管理模式。同时更为重要的是,要极力避免员工在便利贴上记下自己的密码,或者以纯文本的方式保存密码。这种做法不但要承担大额风险,也会带来一系列的问题,例如越来越多的过期密码、团队协同合作问题,进而导致工作效率低下。正确的做法是,将所有部门的特权帐户和凭据存储在一个集中的存储库中。此外,使用现在严密的加密算法(如AES-256)来保护您存储特权帐户凭证的存储库,避免恶意访问。
- 设置特权访问权限,明确用户角色
特权帐户被安全地存储于存储库后,针对用户对其的访问就可以进行有效的管理与控制了。正如高级网络安全中心(ACSC)所述,“根据用户职责限制其对操作系统和应用程序的管理权限。” 对于PAM管理员来讲,需要明确划分各IT成员的角色,使该角色仅具有其所需的最低访问权限,同时确保特权账户不是针对日常活动,如阅读邮件、浏览网页等设定。
- 设定多重身份验证(针对员工及第三方人员)
根据Symantec 的2016年互联网安全威胁报告,通过使用多重身份验证的方法,可以有效避免高达80%的漏洞。对于PAM管理员和用户而言,实施双重或多重身份验证可以保证敏感数据的访问安全。
- 消除纯文本式特权帐户凭据共享行为
PAM管理员不仅要关注消除因角色划分不明确而带来安全隐患,同时也要实现安全地共享实践。确保数据安全,在不需要以纯文本方式暴漏凭证明文密码等信息的前提下,提供员工或用户针对IT资产的访问权限。同时借助PAM管理工具,使用户无需查看或输入该凭证,就可以一键式连接到目标设备。
- 严格的自动密码重置策略
对于IT团队的管理而言,每个特权账户都使用同一个密码,能够使工作相对轻松容易许多,但是,这种方法却及其危险,会导致整个网络环境出现高危漏洞。想要安全管理特权账户,您需要使用一个超强、独一无二的定期重置密码策略。为了消除固定密码以及未授权访问带来的安全隐患,您需要将密码自动重置视为PAM策略中不可分割的一部分。
- 临时访问的控制实施
建立这样一个策略:当用户需要账户凭证访问某个远程资产时,强制要求他们给公司的PAM管理员发送访问申请。为增强安全控制,PAM管理员将只为用户提供临时访问凭据的权限,同时可通过设置访问时间、在规定的访问时间到期时能够撤销访问权限并强制消除密码。进一步,PAM管理工具还应可以在用户消除密码后自动重置密码。
- 停止在脚本文件中嵌入凭据
许多应用程序需要频繁访问数据库和其它应用程序,以查询与业务相关的信息。公司通常通过在应用程序中嵌入带有明文凭据的配置文件或脚本的方式,实现该过程的自动化。但是,这为管理员识别、更改和管理这些嵌入式的密码带来极大挑战。使用固定的密码,保证了业务执行的效率,使管理员的工作更加轻松,但也为不怀好意的***们提供了便捷的***途径。为解决该问题,IT团队可以利用安全API,即当应用程序需要使用其它应用程序或远程资产的特权帐户时,利用安全API直接查询PAM工具。
- 审计
言而总之,全面的审计记录、实时警报和通知确实让工作变得更轻松,这些过程不仅记录了每个用户的操作,同时也实现了针对所有与PAM管理相关责任的明确及透明性。通过与内部事件管理工具的集成,将PAM活动事件与公司其它事件进行整合分析,智能识别异常并提供通知。这为综合事件分析,以及检测漏洞将提供了极大的帮助。
上述实践并不是安全战略的终极方案,我们还需要做更多的工作。根据Verizon的2019年数据泄露调查报告,在2017年确认的2,216个数据泄露事件中,201个是由于特权滥用造成的。这样的统计数据深刻的提醒我们,不仅要保护特权帐户,还应关注与特权账号活动相关的会话的记录与管控,时刻保持警惕,防止异常访问。您的PAM战略应涵盖针对关键资产的特权访问控制(该内容也应涵盖针对身份及访问的管理计划),这是保护机构数据安全的最好办法;同时注意安全界随着企业发展的延伸,对安全管理战略要求的变化,时刻谨记网络犯罪与我们并不遥远。
卓豪Password Manager Pro是一个面向企业的特权对象管理软件,用于全面管理服务器、网络设备、数据库以及各种应用程序的密码,以及各种SSL、SSH数字证书等。帮助集中存储安全对象信息、安全共享密码、实施标准化的密码策略、追踪密码访问历史、控制用户非法使用,助力企业实现安全化的管理规范要求。
登陆官网了解Password Manager Pro更多功能!
还可下载30天免费试用版抢先体验!