Verizon公司在《2015年數(shù)據(jù)泄露調(diào)查報告》中指出，在其分析的約80000起安全事故中，96%可歸因于9種基本攻擊模式(因行業(yè)而異)。在這9種攻擊模式中，內(nèi)部濫用排在第三位，而其中55%的濫用是特權(quán)賬戶濫用。該報告指出，個人濫用其訪問權(quán)限幾乎發(fā)生在每個行業(yè);然而，受影響最大的行業(yè)是公共事業(yè)、醫(yī)療和金融行業(yè)。

[[162885]]

沒有人愿意承認，受信任的雇員或內(nèi)部人員在濫用其特權(quán)賬戶來給企業(yè)造成破壞。但事實是，無論是為了經(jīng)濟利益、報復(fù)或意外事故，肇事者都擁有訪問權(quán)限、知識、機會、時間來進行攻擊，還可能知道如何不被發(fā)現(xiàn)。然而，限制特權(quán)訪問并不是信任的問題，如果信任是問題，那么企業(yè)應(yīng)該解雇這個內(nèi)部人員，這是謹慎控制和問責制的問題。所幸的是，CISO有辦法來部署控制以及分配特權(quán)賬戶，而不會影響工作人員履行崗位職責的能力。

特權(quán)賬戶帶來的挑戰(zhàn)

絕大多數(shù)系統(tǒng)管理員、網(wǎng)絡(luò)工程師、技術(shù)支持人員、數(shù)據(jù)庫管理人員和信息安全工程師認為，由于其工作的性質(zhì)，他們需要全面而不受限制的特權(quán)訪問。這里的挑戰(zhàn)是，他們和企業(yè)非常依賴這種級別的訪問權(quán)限，這很難改變。造成這種情況的原因包括：

• 在多個平臺和組件特權(quán)賬戶通常是相同的。如果特權(quán)賬戶可以攻破一個平臺，則會影響對整個環(huán)境的訪問。

• 有些特權(quán)賬戶在管理員之間共享，從而影響問責制。

• 應(yīng)用系統(tǒng)中嵌入式服務(wù)賬戶讓其難以遵守安全策略規(guī)定的定期更改密碼。

• 特權(quán)賬戶通常不是受相同的企業(yè)密碼控制，因為擔心在重要時刻他們可能被鎖定而被拒絕訪問。

• 糟糕的變更控制、無效的回收系統(tǒng)以及經(jīng)常性緊急變更需要特權(quán)訪問，以保持系統(tǒng)的可用性和性能水平。

• 小部分工作人員要求管理人員在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全和數(shù)據(jù)庫管理員水平填補沖突的工作職責。

限制特權(quán)賬戶

管理員需要比一般用戶更高的訪問權(quán)限來訪問系統(tǒng)資源以完成其工作。例如，對網(wǎng)絡(luò)設(shè)備配置的任何微小變化都會影響整個企業(yè)，限制訪問權(quán)限可能不利于IT運營和系統(tǒng)可用性。但企業(yè)仍然通過職責分離、監(jiān)控活動、變更控制要求、最小權(quán)限和問責制等基本控制來限制特權(quán)賬戶，這些控制包括：

• 限制特權(quán)賬戶的數(shù)量。

• 并非所有管理員需要域賬戶或?qū)ν獠堪踩芾砥鞯某売脩籼貦?quán)，例如大型機IBM的RACE、CA-ACF2或CA-Top Secret。

• 在分配特權(quán)賬戶時使用Active Directory Administrative Groups。

• 確保特權(quán)賬戶使用自己的賬戶，他們可以有特權(quán)賬戶，但他們應(yīng)該使用一般用戶賬戶，因為指定管理員才可擁有特權(quán)賬戶。

• 所有特權(quán)活動應(yīng)該被記錄，日志應(yīng)該直接路由到SIEM，這樣日志無法被刪除或修改。

• 對于所有遠程訪問，管理員應(yīng)該使用多因素身份驗證。對于所有三層網(wǎng)絡(luò)設(shè)備和關(guān)鍵任務(wù)子網(wǎng)時，應(yīng)該需要代理或跳躍服務(wù)器以及AAA TACACS/RADIUS服務(wù)器來獲得訪問權(quán)限。

• 可由管理員訪問的敏感數(shù)據(jù)應(yīng)該進行加密以減小風險。

• 管理員密碼應(yīng)該由企業(yè)控制，并由Group Policy Object執(zhí)行，而無一例外。

• 技術(shù)管理人員應(yīng)執(zhí)行定期賬戶認證，以確保是否仍然需要特權(quán)賬戶訪問權(quán)限。

• 數(shù)據(jù)庫管理員不需要域賬戶，他們需要訪問權(quán)限來維護數(shù)據(jù)庫、模式和執(zhí)行數(shù)據(jù)庫庫重組。如果他們需要修改數(shù)據(jù)，應(yīng)受到數(shù)據(jù)庫監(jiān)控。

• 使用防火墻VLAN、代理服務(wù)器和ACL來分隔網(wǎng)絡(luò)，讓管理員只能訪問他們負責的系統(tǒng)。

• 信息安全賬戶需要規(guī)定安全結(jié)構(gòu)，但他們不需要訪問權(quán)限來讀取或修改生產(chǎn)數(shù)據(jù)。這些賬戶因由SIEM監(jiān)控，活動應(yīng)進行管理審查。

• 技術(shù)管理員不應(yīng)該有域賬戶，除非因為人員配備不足而需要。管理人員和信息安全人員應(yīng)該監(jiān)控特權(quán)賬戶活動。

• 使用數(shù)據(jù)丟失工具來監(jiān)控網(wǎng)絡(luò)、服務(wù)器、共享和端點的活動，以防數(shù)據(jù)泄露或滲出。

現(xiàn)在市面上有很多工具可提供對特權(quán)賬戶的額外限制，這些特權(quán)訪問管理系統(tǒng)各有不同，并可用來增強上述控制。除了這些系統(tǒng)，限制特權(quán)賬戶數(shù)量、監(jiān)控特權(quán)賬戶活動、確保問責制、職責分離和保護敏感數(shù)據(jù)就已足夠。

限制特權(quán)賬戶

限制特權(quán)賬戶很多時候取決于IT組織的規(guī)模，管理員越多，企業(yè)就越容易根據(jù)最小權(quán)限來限制訪問。在小團體中，每個人都履行不同的職責，限制訪問更具挑戰(zhàn)性。然而，如果沒有問責制或監(jiān)控，特權(quán)用戶可能會誤入歧途。這里有三種類型的控制：

• 預(yù)防性控制：讓特權(quán)賬戶只能訪問用戶負責的系統(tǒng)和緩解。

• 檢測性控制：確保特權(quán)賬戶活動是全面且安全的，并由使用管理員無法訪問的SIEM或系統(tǒng)日志服務(wù)器來監(jiān)控。

• 糾正性控制：確保部署足夠的備份和恢復(fù)控制，以在特權(quán)用戶濫用的情況下，讓系統(tǒng)回復(fù)到正常狀態(tài)。

企業(yè)可使用這些控制或者適當組合這些控制來有效控制特權(quán)賬戶。安全以及對特權(quán)賬戶的控制不一定是繁重或破壞性的，深思熟慮的拓撲結(jié)構(gòu)、訪問權(quán)限、監(jiān)控和恢復(fù)程序可減少特權(quán)用戶風險，并允許他們履行自己的工作職責。