Verizon公司在《2015年數(shù)據(jù)泄露調(diào)查報(bào)告》中指出，在其分析的約80000起安全事故中，96%可歸因于9種基本攻擊模式(因行業(yè)而異)。在這9種攻擊模式中，內(nèi)部濫用排在第三位，而其中55%的濫用是特權(quán)賬戶濫用。該報(bào)告指出，個(gè)人濫用其訪問(wèn)權(quán)限幾乎發(fā)生在每個(gè)行業(yè);然而，受影響最大的行業(yè)是公共事業(yè)、醫(yī)療和金融行業(yè)。

[[162885]]

沒(méi)有人愿意承認(rèn)，受信任的雇員或內(nèi)部人員在濫用其特權(quán)賬戶來(lái)給企業(yè)造成破壞。但事實(shí)是，無(wú)論是為了經(jīng)濟(jì)利益、報(bào)復(fù)或意外事故，肇事者都擁有訪問(wèn)權(quán)限、知識(shí)、機(jī)會(huì)、時(shí)間來(lái)進(jìn)行攻擊，還可能知道如何不被發(fā)現(xiàn)。然而，限制特權(quán)訪問(wèn)并不是信任的問(wèn)題，如果信任是問(wèn)題，那么企業(yè)應(yīng)該解雇這個(gè)內(nèi)部人員，這是謹(jǐn)慎控制和問(wèn)責(zé)制的問(wèn)題。所幸的是，CISO有辦法來(lái)部署控制以及分配特權(quán)賬戶，而不會(huì)影響工作人員履行崗位職責(zé)的能力。

特權(quán)賬戶帶來(lái)的挑戰(zhàn)

絕大多數(shù)系統(tǒng)管理員、網(wǎng)絡(luò)工程師、技術(shù)支持人員、數(shù)據(jù)庫(kù)管理人員和信息安全工程師認(rèn)為，由于其工作的性質(zhì)，他們需要全面而不受限制的特權(quán)訪問(wèn)。這里的挑戰(zhàn)是，他們和企業(yè)非常依賴這種級(jí)別的訪問(wèn)權(quán)限，這很難改變。造成這種情況的原因包括：

• 在多個(gè)平臺(tái)和組件特權(quán)賬戶通常是相同的。如果特權(quán)賬戶可以攻破一個(gè)平臺(tái)，則會(huì)影響對(duì)整個(gè)環(huán)境的訪問(wèn)。

• 有些特權(quán)賬戶在管理員之間共享，從而影響問(wèn)責(zé)制。

• 應(yīng)用系統(tǒng)中嵌入式服務(wù)賬戶讓其難以遵守安全策略規(guī)定的定期更改密碼。

• 特權(quán)賬戶通常不是受相同的企業(yè)密碼控制，因?yàn)閾?dān)心在重要時(shí)刻他們可能被鎖定而被拒絕訪問(wèn)。

• 糟糕的變更控制、無(wú)效的回收系統(tǒng)以及經(jīng)常性緊急變更需要特權(quán)訪問(wèn)，以保持系統(tǒng)的可用性和性能水平。

• 小部分工作人員要求管理人員在網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全和數(shù)據(jù)庫(kù)管理員水平填補(bǔ)沖突的工作職責(zé)。

限制特權(quán)賬戶

管理員需要比一般用戶更高的訪問(wèn)權(quán)限來(lái)訪問(wèn)系統(tǒng)資源以完成其工作。例如，對(duì)網(wǎng)絡(luò)設(shè)備配置的任何微小變化都會(huì)影響整個(gè)企業(yè)，限制訪問(wèn)權(quán)限可能不利于IT運(yùn)營(yíng)和系統(tǒng)可用性。但企業(yè)仍然通過(guò)職責(zé)分離、監(jiān)控活動(dòng)、變更控制要求、最小權(quán)限和問(wèn)責(zé)制等基本控制來(lái)限制特權(quán)賬戶，這些控制包括：

• 限制特權(quán)賬戶的數(shù)量。

• 并非所有管理員需要域賬戶或?qū)ν獠堪踩芾砥鞯某?jí)用戶特權(quán)，例如大型機(jī)IBM的RACE、CA-ACF2或CA-Top Secret。

• 在分配特權(quán)賬戶時(shí)使用Active Directory Administrative Groups。

• 確保特權(quán)賬戶使用自己的賬戶，他們可以有特權(quán)賬戶，但他們應(yīng)該使用一般用戶賬戶，因?yàn)橹付ü芾韱T才可擁有特權(quán)賬戶。

• 所有特權(quán)活動(dòng)應(yīng)該被記錄，日志應(yīng)該直接路由到SIEM，這樣日志無(wú)法被刪除或修改。

• 對(duì)于所有遠(yuǎn)程訪問(wèn)，管理員應(yīng)該使用多因素身份驗(yàn)證。對(duì)于所有三層網(wǎng)絡(luò)設(shè)備和關(guān)鍵任務(wù)子網(wǎng)時(shí)，應(yīng)該需要代理或跳躍服務(wù)器以及AAA TACACS/RADIUS服務(wù)器來(lái)獲得訪問(wèn)權(quán)限。

• 可由管理員訪問(wèn)的敏感數(shù)據(jù)應(yīng)該進(jìn)行加密以減小風(fēng)險(xiǎn)。

• 管理員密碼應(yīng)該由企業(yè)控制，并由Group Policy Object執(zhí)行，而無(wú)一例外。

• 技術(shù)管理人員應(yīng)執(zhí)行定期賬戶認(rèn)證，以確保是否仍然需要特權(quán)賬戶訪問(wèn)權(quán)限。

• 數(shù)據(jù)庫(kù)管理員不需要域賬戶，他們需要訪問(wèn)權(quán)限來(lái)維護(hù)數(shù)據(jù)庫(kù)、模式和執(zhí)行數(shù)據(jù)庫(kù)庫(kù)重組。如果他們需要修改數(shù)據(jù)，應(yīng)受到數(shù)據(jù)庫(kù)監(jiān)控。

• 使用防火墻VLAN、代理服務(wù)器和ACL來(lái)分隔網(wǎng)絡(luò)，讓管理員只能訪問(wèn)他們負(fù)責(zé)的系統(tǒng)。

• 信息安全賬戶需要規(guī)定安全結(jié)構(gòu)，但他們不需要訪問(wèn)權(quán)限來(lái)讀取或修改生產(chǎn)數(shù)據(jù)。這些賬戶因由SIEM監(jiān)控，活動(dòng)應(yīng)進(jìn)行管理審查。

• 技術(shù)管理員不應(yīng)該有域賬戶，除非因?yàn)槿藛T配備不足而需要。管理人員和信息安全人員應(yīng)該監(jiān)控特權(quán)賬戶活動(dòng)。

• 使用數(shù)據(jù)丟失工具來(lái)監(jiān)控網(wǎng)絡(luò)、服務(wù)器、共享和端點(diǎn)的活動(dòng)，以防數(shù)據(jù)泄露或滲出。

現(xiàn)在市面上有很多工具可提供對(duì)特權(quán)賬戶的額外限制，這些特權(quán)訪問(wèn)管理系統(tǒng)各有不同，并可用來(lái)增強(qiáng)上述控制。除了這些系統(tǒng)，限制特權(quán)賬戶數(shù)量、監(jiān)控特權(quán)賬戶活動(dòng)、確保問(wèn)責(zé)制、職責(zé)分離和保護(hù)敏感數(shù)據(jù)就已足夠。

限制特權(quán)賬戶

限制特權(quán)賬戶很多時(shí)候取決于IT組織的規(guī)模，管理員越多，企業(yè)就越容易根據(jù)最小權(quán)限來(lái)限制訪問(wèn)。在小團(tuán)體中，每個(gè)人都履行不同的職責(zé)，限制訪問(wèn)更具挑戰(zhàn)性。然而，如果沒(méi)有問(wèn)責(zé)制或監(jiān)控，特權(quán)用戶可能會(huì)誤入歧途。這里有三種類型的控制：

• 預(yù)防性控制：讓特權(quán)賬戶只能訪問(wèn)用戶負(fù)責(zé)的系統(tǒng)和緩解。

• 檢測(cè)性控制：確保特權(quán)賬戶活動(dòng)是全面且安全的，并由使用管理員無(wú)法訪問(wèn)的SIEM或系統(tǒng)日志服務(wù)器來(lái)監(jiān)控。

• 糾正性控制：確保部署足夠的備份和恢復(fù)控制，以在特權(quán)用戶濫用的情況下，讓系統(tǒng)回復(fù)到正常狀態(tài)。

企業(yè)可使用這些控制或者適當(dāng)組合這些控制來(lái)有效控制特權(quán)賬戶。安全以及對(duì)特權(quán)賬戶的控制不一定是繁重或破壞性的，深思熟慮的拓?fù)浣Y(jié)構(gòu)、訪問(wèn)權(quán)限、監(jiān)控和恢復(fù)程序可減少特權(quán)用戶風(fēng)險(xiǎn)，并允許他們履行自己的工作職責(zé)。