企业如何管理特权账号?

什么是特权账号?

查阅相关资料,下述这一解释较符合特权账号的定义:特权账号就是在企业运营过程中,给相关业务运营、系统管理、系统运维等人员赋予的系统维护、权限增加、数据修改删除、导出等高级权限的系统账户。

这些账户及其持有人掌握着企业的信息系统的生死大计,绝大部分时间这些账户都在为公司各项业务正常开展保驾护航。然而,善恶一念间。若恶念乍起,或者是“无意一指”,这些缺乏管控的特权账户可能就会给公司业务带来灭顶之灾。而且,一些黑客会通过攻击特权账号,来窃取企业内部敏感数据。

据DBIR(数据泄露调查报告)对数据泄漏事件的攻击来源分析,近年来导致数据泄漏的主要攻击来源排名相对稳定,但特权滥用攻击占比上升较快,2021年度报告显示,其已成为继社会工程攻击、WEB应用攻击、系统入侵、误操作之后的第五大数据泄漏攻击来源。

据了解,传统的身份和访问管理(IAM,Identity and access management)技术主要为标准用户(企业员工、临时工、访客等)提供访问控制,但未提供针对某些特权账号的共享使用或不受控制的提权的解决方案。而往往这些特权账号(如运维人员账号、超级管理员)拥有较大权限,如果在企业中广泛、不受限制、不受监控的使用这些账号会带来极大的损害,导致机密信息泄露、业务中断等事件比比皆是。

企业如何管理特好账号?

按照国际咨询机构Gartner提供的分类,特权账号主要分为两大类:人员特权账号、软件特权账号。

人员特权账号

个人特权账号:非通用的个人用户账号,通常分配给管理角色或具有提权能力,可访问所有普通用户和进行特权操作。

系统定义的共享特权账号:内置在系统或应用中的账号,用来进行系统的管理操作,如Unix/Linux系统上的根帐户或Windows系统上的管理员帐户。

企业定义的共享特权账号:企业为软件安装、管理和配置目的而设置的账号。通常这类账号会由多个管理员共享,也包括紧急账号,用于紧急情况下临时获取特权访问进行操作。

软件特权账号

与其他系统、应用、数据库或服务进行远程交互(软件到软件)的服务、应用或软件的账号。

特权账号具有分布散、数量多、权限大等特点。基于这些特点,目前企业在特权账号管理方面,存在账号梳理难、风险识别难、账号维护难、满足合规难。另外,特权账号面临着特权账号保管不善、特权账号持有者恶意破坏、特权账号持有者监守自盗、特权账号持有者失误操作等安全威胁。

以下是对企业管理特权账号的几个建议,企业在对特权账号进行管理时,不妨以作参考:

账号集中管理:账号散布各系统、各软件,如果不能采用某种手段对特权账号集中托管,显然不适合管理。因此要对分散的特权账号先集中、再施加安全管控措施,如实施统一的安全策略,方便审计等。

而这需要建立一个统一平台,能够满足多样化系统、软件的密码托管能力。这个平台必须具有良好的平台兼容能力,要不然操作系统一套平台、数据库一套平台,对于特权账户管理来说,仍然存在较大的运维和使用难度。

密码口令管理:特权账户管理的核心是密码管理,要能通过自动化手段定期对密码进行修改、设置密码安全策略等,使得密码口令满足高复杂度、一机一密、定期修改等要求。

账号自动发现:系统、软件在使用期间,往往会因测试需要、人员变动等原因,存在很多长期未使用的账号,这些账号长期缺乏维护,风险很大。所以,特权账号管理需要具有能够自动发现僵尸账号、多余账户的能力。

访问管理:这里有几个原因要提供访问管理功能,一是账号密码被托管之后,管理员无法掌握密码之后,集中管理系统得提供一个特权账号的访问通道,要不然无法对目标系统进行管理;二是管理员在对目标系统进行管理时,要能提供高危行为阻拦、二次验证等功能;三是统一访问控制通道后不允许再开其他网络访问策略。因此,要对特权账号进行访问管控。

日常监控:通过集中的特权账号管理平台,不用监控分析和审计人员再去一一对接海量的业务系统,对用户的操作行为进行识别,阻断高危操作,比如,目标系统登录日志出现了非统一访问控制通道发起登录操作,操作日志中短时间出现了大量的新建、删除、修改、批量导出等高危操作,即可判定为异常,从而发出警告,让管理人员进行进行应急响应。

日常审计:在特权账号管控方面,制度建设、流程建设和技术管控手段都算一道防线,运营监控应该算二道防线。定期事后审计评估安全措施是否落实到位并整改,是安全管控措施的最后一道防线。无论多么好的制度、流程、技术或运营手段,缺少适当的审计措施,都可能存在“制度落实不到位、流程流于形式,技术管控失效”等问题。

—–数据来源:企业如何管理特权账号? (qq.com)