特权访问是指拥有业务系统特权的人的行为,例如对业务系统进行配置更改或访问业务数据。集中统一控制分散混乱的特权访问状态是一种有效的解决方案,实现了特权身份和访问权限的集中管理,并在整个过程中实时记录访问行为,为事后安全审计提供了有力的证据。
一、特权访问下安全风险
Privileged Access是指拥有业务系统权限的人对业务系统进行配置更改或访问业务数据的行为。特权访问行为可以控制组织资源、修改安全策略和访问大量敏感数据。它通常与系统操作和维护操作相关,这是最典型的特权问行为。例如,以在Linux系统上的根权限登录系统,以修改系统参数、停止核心业务服务或执行系统关闭操作;或者以管理员权限登录交换机以修改交换机路由配置,添加白名单以允许外部用户访问内部敏感系统和数据等。特权访问具有保密性强、可执行权限高和影响力广的特点。特权访问通常具有以下安全风险:
特权身份欺诈性使用、滥用访问权限管理混乱、缺乏有效的安全审计、未能满足安全监管要求、数据传输泄漏和威胁分析能力不足@
二、特权访问下数据安全建议
集中统一控制分散混乱的特权访问状态是一种有效的解决方案,实现了特权身份和访问权限的集中管理,并在整个过程中实时记录访问行为,为以后的安全审计提供了有力的证据。绿盟国王提出了以下四项安全建议,以增强特权访问的安全性。
建议1—特权身份集中管理
(1)主账户集中管理
摘要将具有特权身份的自然人定义为主账户,摘要将所有可访问业务系统账户的密码信息定义为从账户,对所有主账户和从账户的统一管理是特权访问管理的先决条件。一般采用三权分立的原则来管理主账户,主账户可分为三类角色和权限:特权身份管理员、特权审计员和系统维护员。其中,特权身份管理员负责主账户的创建、编辑、权限分配和取消等一系列全生命周期管理。特许审计师负责审计和分析主账户的运行行为和从账户的使用情况,并对审计结果进行统计报告等。系统维护人员负责特权身份管理系统的配置、更新和维护。三种权力相互牵制,防止特权权力监督的真空地带。同时,通过结合双因素或多因素认证方法对主账户的身份进行识别,解决了特权身份混合使用和欺诈使用的问题,也为安全事件识别和规则提供了可靠的依据。并引入身份认证保护机制,如暴力破解密码锁定登录、静默会话自动注销、不能使用重复密码、账户密码信息加密存储等安全机制来保护主账户信息。
(2)账号集中管理
抽象地将所有业务系统定义为目标设备。集中管理目标设备中的所有从属帐户以形成从属帐户分布的全景相当于管理访问企业信息资产库的“金钥匙”。根据全景图,应该妥善管理“金钥匙”的分发和使用。同时,应进行定期检查,及时发现企业中未管理的目标设备和从属账户信息。例如,单点登录(SSO)技术使主帐户的用户能够在不知道从属帐户密码的情况下访问业务系统和数据。定期扫描国际数据中心房间中幸存的业务系统,并从帐号中发现信息。
定期检查从属帐户的密码状态,及时发现异常情况,并保留“金钥匙”。例如,定期验证从属帐户密码的有效性可以及时发现从属帐户密码的泄露或被盗,并在特权期间发现未经授权的密码更改操作
建议2—访问权限集中管控
访问权限被尽可能地划分为最小粒度,只授予特权访问所需的最小权限集,特权访问期间的权限被统一集中分配,形成特权访问权限的全景图,清晰地描述了哪些自然人可以访问哪些业务系统和拥有哪些访问权限,并尽可能减少特权访问中权限滥用或越权行为的发生。例如,根据帐户的查询和编辑权限,数据库分为两种类型的帐户user1和user2。当只需要查询操作时,可以分配usr1以防止错误删除数据。根据服务器应用的特点,权限也可以分为上传和下载权限来控制,如文件服务器。
(2)资金模式
在访问高价值业务系统和高风险级别操作时,应采用实时资金模式进行控制,即应配置“操作监督”双岗模式来管理特权访问,高价值业务系统应“一次访问,一次审批”,高风险级别操作应“一次操作,一次审批”,并应指派专门人员实时管理访问过程。例如,当访问网络边界网关交换机和防火墙时,当修改访问控制配置或重新启动设备操作时,应进行操作批准和确认。
建议3—全程集中安全审计
事件后分析的主要内容是谁在什么时间、什么地点、用什么权限对哪个业务系统做了什么,哪些权限可以进一步提升到谁管理操作员,谁被导入到操作和维护环境中,谁是业务系统主管或事件负责人,访问权限是否分配合理,谁分配和审核访问权限,以及进行了哪些调整。这些问题可以通过安全审计完全记录下来。事件后分析中更重要的是能够完全恢复事件过程,并准确评估事件的风险和损失。
建议4—数据加密和威胁分析
(1)通信协议加密保护
加密数据是解决网络嗅探和监控的最佳方法。加密特权访问通信的数据流可以有效防止监控和流量恢复导致的数据泄漏。例如,更新文件传输协议到SFTP,远程登录到SSH,VNC到RDP,等等。
(2)威胁分析和检测:
业务系统特权访问留下的数据对业务系统的稳定性和业务核心形成的安全性有很大影响吗,是否存在安全威胁?这些问题总是困扰着管理者和CISO。由于特权访问的高度保密性,传统的安全检测方法(如入侵检测系统、网络审计或安全沙箱等)。)很难检测到安全威胁。如果在传统的安全检测技术中加入协议代理或数据轮渡技术,可以有效解决特权访问中的数据威胁分析,提高数据安全能力。
三、总结
在特权访问的整个过程中,特权身份识别是预先进行的,形成“一个人、一个角色、一个账户”,即自然人属于一种角色。使用一个帐户的许可用于防止身份欺诈使用和混合使用;过程访问权限的集中管理依靠“一图一原则一模式”,即访问权限全景、“最低权限”原则和“运行监督”模式来改变权限管理模式;事后操作的安全审计是“一人一操作一记录”,即任何自然人对任何操作都有一个记录,从而提高了事件分析和跟踪的能力。持续分析运行和维护数据的保护和威胁,以防止数据泄漏并发现安全威胁。这将使特权访问的管理从被动变为主动,并有效地提高企业或组织的效率。
极牛网精选文章《提升特权访问的四个安全建议》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/5141.html