首席信息官面臨著必須保護(hù)其業(yè)務(wù)的悖論,同時(shí)簡(jiǎn)化了公司需要增長(zhǎng)的信息和系統(tǒng)的訪問(wèn)。他們面臨的威脅方案要求采用一種安全方法,該方法適用于任何威脅表面上的每次訪問(wèn)嘗試的風(fēng)險(xiǎn)上下文。使用風(fēng)險(xiǎn)評(píng)分來(lái)區(qū)分嘗試在風(fēng)險(xiǎn)較高的上下文中訪問(wèn)安全系統(tǒng)的特權(quán)用戶,而不是正常的攻擊者濫用特權(quán)憑證,這已被證明是阻止基于憑據(jù)的違規(guī)行為的有效方法。
特權(quán)憑證濫用是有組織犯罪和國(guó)家支持的網(wǎng)絡(luò)犯罪組織使用的最流行的違規(guī)策略之一。他們寧愿走進(jìn)企業(yè)系統(tǒng)的大門而不是黑客入侵。74%接受過(guò)調(diào)查的IT決策者過(guò)去曾表示,其中涉及特權(quán)訪問(wèn)憑據(jù)濫用,但只有48%的人擁有密碼保險(xiǎn)庫(kù)。只有21%的用戶使用多重身份驗(yàn)證(MFA)來(lái)實(shí)現(xiàn)特權(quán)管理訪問(wèn)。這些以及許多其他見(jiàn)解來(lái)自Centrify最近的調(diào)查,即現(xiàn)代威脅中的特權(quán)訪問(wèn)管理。
CIO如何解決特權(quán)證件濫用的悖論
每個(gè)CIO安全策略面臨的挑戰(zhàn)是實(shí)時(shí)適應(yīng)風(fēng)險(xiǎn)背景,準(zhǔn)確評(píng)估每個(gè)威脅表面的每次訪問(wèn)嘗試,每個(gè)風(fēng)險(xiǎn)評(píng)分以毫秒為單位。通過(guò)采用“永不信任,始終驗(yàn)證,實(shí)施最低權(quán)限”的安全方法,CIO可以提供自適應(yīng)的,上下文準(zhǔn)確的基于零信任的方法來(lái)驗(yàn)證特權(quán)憑證。Zero Trust Privilege正在成為一種經(jīng)過(guò)驗(yàn)證的框架,可通過(guò)驗(yàn)證誰(shuí)請(qǐng)求訪問(wèn)權(quán)限,請(qǐng)求的上下文以及訪問(wèn)環(huán)境的風(fēng)險(xiǎn)來(lái)阻止特權(quán)憑據(jù)濫用。
通過(guò)采用最小權(quán)限訪問(wèn)方法,組織可以最小化攻擊面,提高審計(jì)和合規(guī)性可見(jiàn)性,并降低運(yùn)營(yíng)現(xiàn)代混合企業(yè)的風(fēng)險(xiǎn),復(fù)雜性和成本。CIO正在通過(guò)了解即使特權(quán)用戶輸入了正確的憑據(jù)但請(qǐng)求帶有風(fēng)險(xiǎn)上下文來(lái)解決特權(quán)憑證濫用的悖論,然后需要更強(qiáng)的驗(yàn)證來(lái)允許訪問(wèn)。
制止特權(quán)證件濫用的策略
以下是CIO需要集中精力停止特權(quán)憑證濫用的五種策略。從特權(quán)帳戶清單開(kāi)始,通過(guò)找到IT基礎(chǔ)架構(gòu)中的空白,為特權(quán)憑證濫用創(chuàng)造機(jī)會(huì),CIO及其團(tuán)隊(duì)現(xiàn)在需要采取先發(fā)制人的行動(dòng),以避免將來(lái)發(fā)生潛在的違規(guī)行為。
在CIO停止特權(quán)訪問(wèn)濫用指南的第1部分中,以下是他們可以采取的步驟:
發(fā)現(xiàn)并清點(diǎn)所有特權(quán)帳戶及其憑據(jù),以定義誰(shuí)負(fù)責(zé)管理其安全性和使用。
根據(jù)Gartner的一項(xiàng)調(diào)查,超過(guò)65%的企業(yè)允許共享使用特權(quán)帳戶而不對(duì)其使用負(fù)責(zé)。CIO們意識(shí)到缺乏一致的治理策略會(huì)為特權(quán)憑證濫用創(chuàng)造許多機(jī)會(huì)。他們還發(fā)現(xiàn)了孤立帳戶,多個(gè)所有者憑證,以及大多數(shù)系統(tǒng)管理員擁有大多數(shù)企業(yè)系統(tǒng)的超級(jí)用戶或root用戶訪問(wèn)權(quán)限。
保護(hù)您的云平臺(tái)的Root帳戶并聯(lián)合訪問(wèn)AWS,Google Cloud Platform,Microsoft Azure和其他公共云控制臺(tái)。
您的企業(yè)所依賴的每個(gè)云平臺(tái)上的Root密碼都是“王國(guó)的關(guān)鍵”,并為公司內(nèi)外的不良參與者提供了輕松滲透數(shù)據(jù)的能力。最近有關(guān)被解雇員工如何刪除其前雇主的23臺(tái)AWS服務(wù)器的消息是一個(gè)警示故事,講述了當(dāng)零信任方法不采用特權(quán)憑證時(shí)會(huì)發(fā)生什么。Centrify的調(diào)查發(fā)現(xiàn),63%或者組織在離開(kāi)公司后需要花費(fèi)一天以上的時(shí)間來(lái)關(guān)閉員工的權(quán)限訪問(wèn)權(quán)限。鑒于AWS root用戶帳戶有權(quán)立即刪除所有實(shí)例,組織必須擁有存儲(chǔ)AWS root帳戶憑據(jù)的密碼保管庫(kù)。使用集中身份(例如,Active Directory)并啟用聯(lián)合登錄,而不是本地AWS IAM帳戶和訪問(wèn)密鑰。通過(guò)這樣做,您可以消除對(duì)長(zhǎng)期訪問(wèn)密鑰的需求。
審核特權(quán)會(huì)話并分析模式,以查找潛在的特權(quán)憑據(jù)共享或?yàn)E用,而不會(huì)立即從審計(jì)中明顯看出。
審核并記錄所有企業(yè)系統(tǒng)中的授權(quán)和未授權(quán)用戶會(huì)話,尤其關(guān)注所有平臺(tái)上的root密碼使用。采取此步驟對(duì)于為使用中的每個(gè)特權(quán)憑證分配問(wèn)責(zé)制至關(guān)重要。它還會(huì)告訴您是否在組織中廣泛共享特權(quán)憑據(jù)。采用零信任方法來(lái)保護(hù)特權(quán)憑證將很快找到可能存在潛在失誤或漏洞的區(qū)域。對(duì)于AWS賬戶,請(qǐng)務(wù)必使用AWS CloudTrail和Amazon CloudWatch監(jiān)控所有AWS實(shí)例和您的AWS賬戶的所有API活動(dòng)。
盡可能在現(xiàn)有基礎(chǔ)架構(gòu)內(nèi)實(shí)施最小權(quán)限訪問(wèn),根據(jù)Zero Trust的基礎(chǔ)定義安全路線圖作為您未來(lái)的方向。
使用所有特權(quán)帳戶的清單作為基準(zhǔn),立即更新每個(gè)憑證的最小權(quán)限訪問(wèn)權(quán)限并實(shí)施特權(quán)提升流程,從而降低整體風(fēng)險(xiǎn)和攻擊者橫向移動(dòng)和提取數(shù)據(jù)的能力。“信任但驗(yàn)證”的日子已經(jīng)結(jié)束。最近發(fā)言的保險(xiǎn)和金融服務(wù)公司的首席信息官指出,他們的新業(yè)務(wù)模式,都嚴(yán)重依賴安全的互聯(lián)網(wǎng)連接,使Zero Trust成為他們未來(lái)服務(wù)戰(zhàn)略的基石。他們都超越了“信任但驗(yàn)證”,采用更具適應(yīng)性的方法來(lái)實(shí)時(shí)了解威脅表面的風(fēng)險(xiǎn)背景。
在所有威脅表面上采用多因素身份驗(yàn)證(MFA),可以適應(yīng)和靈活處理每個(gè)資源請(qǐng)求的風(fēng)險(xiǎn)上下文。
運(yùn)營(yíng)一系列保險(xiǎn)和金融服務(wù)公司的首席信息官,其中一些是我的前MBA學(xué)生,他們表示,多因素身份驗(yàn)證是防止特權(quán)憑證濫用的必要條件。他們采取的做法是添加一個(gè)身份驗(yàn)證層,用他們所知道的東西(用戶名,密碼,PIN或安全問(wèn)題)查詢用戶(智能手機(jī),一次性密碼令牌或智能卡),他們是什么(像指紋這樣的生物特征識(shí)別和他們已經(jīng)完成的事情(他們通常在哪里進(jìn)行的上下文模式匹配)有助于在采用特權(quán)憑證時(shí)以指數(shù)方式濫用特權(quán)憑證濫用。這是一個(gè)懸而未決的成果:自適應(yīng)MFA使得這種額外驗(yàn)證對(duì)生產(chǎn)力的影響幾乎沒(méi)有實(shí)際意義。
