7個(gè)小貼士幫你給特權(quán)訪(fǎng)問(wèn)管理穿上“防彈衣”

責(zé)任編輯:editor004

作者:陳峻/編譯

2016-09-13 14:34:46

摘自:51CTO

最近各種研究都表明:公司需要更多地去關(guān)注他們的特權(quán)賬戶(hù)。

最近各種研究都表明:公司需要更多地去關(guān)注他們的特權(quán)賬戶(hù)。

自從獲悉了VERIZON的數(shù)據(jù)丟失調(diào)查報(bào)告所顯示的63%的數(shù)據(jù)丟失與默認(rèn)的弱密碼以及密碼被盜有關(guān)后,特權(quán)訪(fǎng)問(wèn)管理(Privileged access management - PAM) 已被諸多安全經(jīng)理所親睞。因?yàn)楹诳统S玫墨@取數(shù)據(jù)的工具就是和特權(quán)賬戶(hù)有關(guān)。

7個(gè)貼士幫你給特權(quán)訪(fǎng)問(wèn)管理穿上“防彈衣”

本周有兩篇涉及PAM的最新報(bào)告指出:盡管大家對(duì)PAM的意識(shí)正在增強(qiáng),但要想使之成為主流,仍有許多“功課”需要去做。例如,BeyondTrust.com發(fā)布的一份報(bào)告指出:76%的頂級(jí)公司已應(yīng)用密碼循環(huán)更新策略,而只有14%的底層公司真正遵循著這些最佳實(shí)踐。那些所謂的頂級(jí)公司占BeyondTrust研究的550名受訪(fǎng)者中的三分之一。BeyondTrust特權(quán)策略總監(jiān)斯科特·朗表示:“頂級(jí)公司之間[和]或其他公司之間的差異其實(shí)還是蠻大的。引人注目的是只有3%的受訪(fǎng)者說(shuō)他們有實(shí)時(shí)終止會(huì)話(huà)的能力。”

受Forcepoint之托,Ponemon研究所在2011年和2014年對(duì)PAM做了持續(xù)研究。本周其發(fā)布的報(bào)告顯示:在今年基于704名受訪(fǎng)者的研究中,91%的人相信:用戶(hù)特權(quán)的濫用所引發(fā)的風(fēng)險(xiǎn)將在未來(lái)12 - 24個(gè)月有所增加或至少持平。研究還發(fā)現(xiàn):39%的人對(duì)特權(quán)用戶(hù)訪(fǎng)問(wèn)的完整可見(jiàn)性能力缺乏信心,也無(wú)法評(píng)判用戶(hù)是否在按合規(guī)辦事。只有18%的人對(duì)此能力有足夠的信心。

“很多組織甚至不能說(shuō)出什么是Ground Zero (一個(gè)小有名氣的信息安全峰會(huì)的名稱(chēng)),” Forcepoint的聯(lián)合科技銷(xiāo)售總監(jiān)邁克爾·克勞斯說(shuō),“公司專(zhuān)注于外部威脅無(wú)可厚非,但內(nèi)部特權(quán)用戶(hù)所導(dǎo)致的數(shù)據(jù)泄漏同樣重要,甚至更具破壞性”。他還說(shuō):“各級(jí)組織必須意識(shí)到他們所授予特殊訪(fǎng)問(wèn)權(quán)限的人具有很大的破壞力。他們可以安裝一些僅在兩周后甚至是其離開(kāi)公司數(shù)月后才生效的惡意軟件。”

基于上述對(duì)朗先生、克勞斯先生的采訪(fǎng)以及兩份報(bào)告所提及的數(shù)據(jù),本文提出以下七個(gè)小貼士,旨在幫助信息安全經(jīng)理們提高其PAM的管理實(shí)踐能力。

1. 實(shí)施最小特權(quán)政策

特權(quán)用戶(hù)應(yīng)該只有工作所需的訪(fǎng)問(wèn)權(quán)限。Forcepoint/Ponemo所出具的報(bào)告發(fā)現(xiàn):74%的受訪(fǎng)者說(shuō),特權(quán)用戶(hù)認(rèn)為他們有訪(fǎng)問(wèn)所有信息的權(quán)限;而66%的人認(rèn)為特權(quán)用戶(hù)出于好奇心會(huì)去訪(fǎng)問(wèn)敏感的或機(jī)密的數(shù)據(jù)。另外58%的人認(rèn)為公司組織通常分配了遠(yuǎn)超過(guò)個(gè)人的角色和責(zé)任的特權(quán)訪(fǎng)問(wèn)權(quán)限給用戶(hù)。

這個(gè)“最小特權(quán)政策”的概念也可以擴(kuò)展到所有用戶(hù)上。專(zhuān)家建議公司對(duì)訪(fǎng)問(wèn)應(yīng)用程序進(jìn)行授權(quán),且不做訪(fǎng)問(wèn)特權(quán)的擴(kuò)展。公司沒(méi)有理由讓一個(gè)人擁有超出其工作范圍的訪(fǎng)問(wèn)特權(quán)。比如說(shuō):如果一個(gè)員工在家工作時(shí)需要訪(fǎng)問(wèn)一個(gè)打印服務(wù)器,其公司僅授權(quán)他去訪(fǎng)問(wèn)一臺(tái)指定的打印服務(wù)器。這樣一旦他們?cè)O(shè)置好服務(wù),打印連接建立好后,便可馬上撤銷(xiāo)相應(yīng)的許可權(quán)限。

2. 使用漏洞評(píng)估來(lái)管理風(fēng)險(xiǎn),獲取組織里特權(quán)帳戶(hù)的可見(jiàn)性

BeyondTrust的報(bào)告指出:91%的頂級(jí)公司進(jìn)行著漏洞評(píng)估;而只有20%的最底層的組織這么做。沒(méi)有公司風(fēng)險(xiǎn)狀況的可見(jiàn)性等于開(kāi)啟了組織的潛在風(fēng)險(xiǎn)之門(mén)。比如說(shuō):通過(guò)對(duì)企業(yè)進(jìn)行常規(guī)的漏洞評(píng)估,他們可以獲知30、60或90天沒(méi)給系統(tǒng)打補(bǔ)丁這個(gè)漏洞的存在。也就是說(shuō),通過(guò)漏洞評(píng)估,他們可以明智的決定是否要發(fā)布一個(gè)補(bǔ)丁到系統(tǒng)里。

3. 建立一個(gè)密碼集中管理的政策

BeyondTrust的報(bào)告也指出:92%的頂級(jí)公司對(duì)特權(quán)用戶(hù)實(shí)施密碼集中管理;而只有25%的最底層的公司是這么做的。公司也經(jīng)常需要周期性更新密碼。這個(gè)周期可以是每10、20或30天,具體可以根據(jù)組織自身情況而定。

4. 加強(qiáng)對(duì)特權(quán)會(huì)話(huà)的監(jiān)控

BeyondTrust的報(bào)告同時(shí)指出:71%的頂級(jí)公司有監(jiān)控特權(quán)帳戶(hù)的會(huì)話(huà)的能力;而只有49%的最底層的組織能做到這一點(diǎn)。約45%的公司既可以實(shí)時(shí)觀察又能實(shí)時(shí)終止會(huì)話(huà);而只有3%的公司只能做到實(shí)時(shí)終止他們的會(huì)話(huà)。記?。寒?dāng)一些非尋常的行為發(fā)生時(shí),能夠監(jiān)控并終止掉該會(huì)話(huà)的能力對(duì)于保護(hù)組織的系統(tǒng)是非常有效的。

5. 對(duì)已獲特權(quán)訪(fǎng)問(wèn)的帳戶(hù)進(jìn)行徹底的背景調(diào)查

Forcepoint/Ponemo所研究的大多數(shù)組織里,63%在發(fā)放特權(quán)憑證前執(zhí)行過(guò)徹底的背景檢查。這相對(duì)于2014年的57%比例已有所上升。然而,事實(shí)上37%的組織因?yàn)榕乱鹩脩?hù)恐慌這一潛在的風(fēng)險(xiǎn)而不執(zhí)行背景調(diào)查。

6. 現(xiàn)代化的組織特權(quán)用戶(hù)培訓(xùn)方案

Forcepoint/Ponemo所研究的受訪(fǎng)者中,約60%的有著定期的特權(quán)用戶(hù)培訓(xùn)方案,但只有27%的人認(rèn)為這些培訓(xùn)方案有著大幅度降低風(fēng)險(xiǎn)的能力。原因是:大多數(shù)的培訓(xùn)內(nèi)容是那種靜態(tài)的復(fù)選框式的30分鐘視頻,因此會(huì)給人帶來(lái)乏味感。而如今的工作者,他們大多是注意力不易集中的千禧一代,反而會(huì)對(duì)有互動(dòng)的培訓(xùn)材料反應(yīng)更好些。

7. 向分配給業(yè)務(wù)部門(mén)特權(quán)用戶(hù)認(rèn)證的責(zé)任

Forcepoint/Ponemo研究發(fā)現(xiàn):46%的受訪(fǎng)者認(rèn)為,部門(mén)經(jīng)理是最有責(zé)任進(jìn)行特權(quán)用戶(hù)角色認(rèn)證授權(quán)的。這確實(shí)也是一個(gè)很好的并值得強(qiáng)化的趨勢(shì)。IT安全分析師們有著這樣面向流程的“世界觀”:他們認(rèn)為“誰(shuí)可以訪(fǎng)問(wèn)哪些應(yīng)用程序和數(shù)據(jù)集”應(yīng)該是由有著更廣闊的公司運(yùn)營(yíng)觀的業(yè)務(wù)部門(mén)經(jīng)理所決定的。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)