特权访问管理潜在风险.pdf

2016 年 5 月 特权访问： 管理潜在风险，保护数据安全 » 尽管特权帐户滥用被认为是一种威胁，但大多数组织未能利用相关的技术 和实践，确保系统性地执行最小特权原则。 执行摘要 每天有数百万条包含个人可识别信息及信用卡、借记卡数据的记录被犯罪分子所窃取。其中的许多攻击 涉及到使用被攻陷的特权帐户或特权已提升的指派帐户，使攻击者能够在整个组织环境中随意移动而不 被发现，进而从容挖掘敏感数据。UBM 在一项调查中的不利发现表明，大多数组织都对特权用户没有 足够的控制权 ，无法阻止数据外泄。对敏感数据进行特权访问管理的安全团队，与希望一个基于信任的 模型就能保护其数据的团队之间存在着巨大的差距。210 位调查回复者中仅有 24% 的人表明，他们投 入了大量的资源来执行关键的最小特权安全原则。»»» 特权访问：管理潜在风险，保护数据安全 44% 的回复者表明他们采用手动方式设置特权，26% 回复者声称他们没有让人力资源部门参与特权 帐户管理流程。再加上 61% 的回复者对基于角色的特权进行审核的频率低于每年一次，很容易就能看出 为什么错误和糟糕的管理导致特权很少与角色和需求相匹配。 问题的根源似乎是安全措施应用不一致。企业未能升级并全面地集成各种防御措施或部署正确的解决 方案，以应对如今的开放基础架构。71% 的人没有使用环境感知的访问控制 - 情景信息，比如当日时 间、地理位置和终端设备类型 - 来改善信息安全决策。这导致组织只能依赖于帐户凭据来验证用户的身 份。不到 20% 的回复者使用专门的解决方案来审计特权身份的使用。不幸的是，没有资源或尚未下定决 心监控和审计特权用户的组织，不可避免地会成为高成本、高影响的数据外泄的下一批牺牲者。 滥用特权帐户访问是任何组织所面对的最大威胁之一。在本报告中，我们： • 分析企业如何减轻特权滥用的威胁，使用哪些技术和实践来执行最小特权原则 • 分析为什么如此多的组织未能有效地管理特权访问 • 探讨如何改进特权管理，以及哪些安全技术和实践能带来最佳的成果 • 评估组织如何才能最有效地减轻特权滥用的威胁 企业数据和声誉面临风险 安全专业人员之间一个很流行的争论主题是，内部 者获得了OPM 系统的访问权。2013 年，攻击者 攻击的风险是否大于外部攻击。UBM 的调查表 从目标的一个供应商处盗取网络凭据，并使用它 明，超过一半的回复者认为他们是同等的威胁，而 们访问目标网络，从而给目标造成了破坏。 22% 的回复者则认为外部威胁才是更大的问题。 Home Depot 声称从第三方供应商盗取的凭据导 做出后一判断的依据可能是与内部发起的攻击量相 致它在 2014 年遭到了信用卡信息外泄。据信， 比，组织每天需要处理绝对数量的外部攻击。尽管 在 2015 年对医疗保险公司 Anthem 的攻击中， 内部攻击少一些，但它所导致的损害通常要大得 幕后操纵者伪装成内部管理人员，获得了属于不 多，因为攻击者已拥有访问权，特别是如果他们由 同员工的用户名和密码的访问权。利用特权帐户 于职能或资格关系而成为特权用户。利用特权帐户 所造成的数据外泄数不胜数 - 当然包括爱德华·斯 的网络攻击所导致的损害最大，而且最近有很多这 诺登导致的国家安全局信息泄露 - 并突出了许多 样的例子。 组织在正确保护和监控对关键系统和数据拥有特 去年，通过从与美国人事管理局 (OPM) 进行过 权访问权的用户帐户方面出现了持续的失败。 合作的背景调查提供商处盗取用户名和密码，攻击 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 特权访问：管理潜在风险，保护数据安全 管理员使用特权帐户来管理系统和软件，运行服 内部的威胁，只有 24% 的回复者认为他们投入了 务，以及使应用能彼此交互。这些帐户在任何组织 大量的工作和资源来执行关键的最小特权安全原 中都是权力最大的，而这正是内外部攻击者力图利 则；参见图 1。37% 的回复者甚至未将使用特权 用它们的原因。获取特权帐户的凭据后，攻击者就 访问的内部人员视为信息安