月犬云盾 原宏杰加密

没有人愿意相信受信任的员工或内部人员滥用其特权账户来破坏企业。但事实是，肇事者有权访问经济利益。知识。机会。时间来攻击，也可能知道如何不被发现。CISO有办法部署和控制和分配特权账户，而不会影响员工履行职责的能力。

特权账户带来的挑战。

绝大多数系统管理员.网络工程师.技术支持者.数据库管理者和信息安全工程师认为，他们需要全面而无限的特权访问，因为他们的工作性质。这里的挑战是，他们和企业非常依赖这个级别的访问权限，很难改变。造成这种情况的原因包括:

1.多个平台和组件的特权账户通常是一样的。如果特权账户能够突破一个平台，就会影响对整个环境的访问。

2.管理员之间共享部分特权账户，影响问责制。

3.嵌入式服务账户在应用系统中使其难以遵守安全策略规定的定期更改密码。

4.特权账户通常不受同一企业密码的控制，因为他们担心在重要时刻被锁定而被拒绝访问。

5.糟糕的变更控制。无效的回收系统和频繁的紧急变化需要特权访问，以保持系统的可用性和性能水平。

6.少数员工要求管理者在网络.系统.应用.安全和数据库管理员水平上填补冲突的工作职责。

限制特权账户。

管理员需要比普通用户更高的访问权限来访问系统资源来完成他们的工作。例如，网络设备配置的任何小变化都会影响整个企业，限制访问权限可能不利于IT操作和系统可用性。但企业仍然通过职责分离、监控活动、变更控制要求等基本控制来限制特权账户，包括：

1.限制特权账户数量。
2.并非所有管理员都需要域账户或外部安全管理器的超级用户特权，比如大型IBM的RACE.CA-ACF2或CA-Topsecret。
3.在分配特权账户时，使用Activedirectoryadministrativegroups。
4.确保特权账户使用自己的账户，他们可以有特权账户，但他们应该使用一般的用户账户，因为指定的管理员可以有特权账户。
5.所有特权活动均应记录，日志应直接路由到SIEM，以免日志被删除或修改。
6.对于所有远程访问，管理员应使用多因素身份验证。对于所有三层网络设备和关键任务子网，代理或跳跃服务器和AAATACACS/RADIUS服务器应获得访问权限。
7.管理员访问的敏感数据应加密，以降低风险。
8.管理员密码由企业控制，Grouppolicyobject执行，无一例外。
9.技术管理人员应定期进行账户认证，以确保是否仍需要特权账户访问权限。
10.数据库管理员不需要域账户，需要访问维护数据库.模式和执行数据库重组的权限。如果需要修改数据，应该由数据库监控。
11.使用防火墙VLAN.代理服务器和ACL分隔网络，使管理员只能访问其负责的系统。
12.信息安全账户需要规定安全结构，但不需要访问读取或修改生产数据的权限。这些账户由SIEM监控，活动应进行管理审查。
13.除非人员配备不足，否则技术管理员不应有域账户。管理者和信息安全人员应监控特权账户活动。
14.使用数据丢失工具来监控网络.服务器.共享和端点活动，防止数据泄露或渗出。

目前，市场上有许多工具可以为特权账户提供额外的限制。这些特权访问管理系统各不相同，可用于加强上述控制。除此之外，限制特权账户数量。监控特权账户活动。确保问责制。分离和保护敏感数据就足够了。