保护特权账号安全对于减少攻击的影响至关重要。
对于每一个黑客而言,一般都有如下的典型攻击模式:收集攻击对象信息、嗅探以及发现攻击路径、对目标进行攻击并且获取接入权限、给自己的接入账号进行提权——当然,如果能直接获取特权账号就事半功倍了。因此,对于攻击者而言,在最初的攻击当中,目标都是获取尽可能高权限的账号,这样就能在目标系统中不受限地进行各种操作,达成自己的目的。同时,安全专家也估计,在他们进行调查的严重网络攻击事件中有80%到“几乎全部”都在攻击过程的某个环节利用了特权账户。
典型的保护特权账号安全的流程
可以发现,特权账号的保护是不得不注意的一点。在大部分企业对于信息的保护以及账号保护的方案,一般都基于以下几点:
- 对不同敏感度的信息分类,并且进行不同深度的保护。
- 对不同权限的账户,能查阅、修改不同的信息。
- 对账户进行各种认证保护。
这些措施都是非常正确,并且是必须实行的。但是,我们需要意识到的是,如果特权账户无法获得适当的保护,以上的保护可能都会被绕过变得形同虚设。
然而,绝大部分企业对特权账户的保护有以下几个很大的误区与问题:
- 对特权账户保护不够重视:正如之前说的一样,保护特权账户并不完全包含在对数据的分类保护、对账户的登录认证这些方面——尽管很多管理者那么认为。事实上,由于企业的IT环境在不断变化,特权账户的归属本身也在不断变化。当发生人事调动,以及使用了不同的系统时,特权账户的使用情况会发生变化,一旦不进行妥善处理,就会留下内部人员账户权限过大以及僵尸特权账号的问题,从而留下内部以及外部的安全隐患。
- 特权账户只是针对人的:也会有管理者认为特权账户的管理只是针对人员的,因此,只要从规范上对人进行足够的安全保护以及教育,就能做好特权账户的保护。事实上,特权账户的保护,除了与人相关,也与软件相关:不同的软件、应用、服务在相互之间交互的时候,也需要通过账户进行,因此对于企业在日常运营、开发过程中,也会产生各类特权账号。
- 不知道自己有多少特权账户:基于以上两点,大部分的企业很多时候对特权账户的管理是十分混乱的:他们不知道自己有哪些特权账户、这些特权账户都能做些什么、这些特权账户都在哪里。如今很多攻击者往往有极高的耐心,他们会静静地潜伏在企业的系统,甚至直接潜伏在企业中数周到数月,发现以及等待对特权账户的攻击机会——企业却不知道自己到底有哪些特权账户,那有如何发现以及防护自己的企业呢?
- 我们不需要那么多的防御:很多中小企业会认为:自己的IT系统没那么复杂、攻击者更倾向于攻击油水丰厚的大企业。结论则是,自己不需要那么多的安全防护。但是,攻击者是无孔不入的;而且,他们尤其喜欢中小企业——虽然看上去获得的利益没有大型企业那么多,但是因为很多时候中小企业对自身缺乏足够的安全防护,使得攻击更容易达成。而我们也在开头提到了,无论是从攻击者角度,还是从安全专家角度来看,获取特权账户是在攻击流程中几乎必然发生的一个环节。
我们该做什么?
特权账户的防御往往是保护数据泄露的最后一道防线。安全专家们给企业的特权账户管理提出了以下几个建议:
- 了解自己有哪些特权账户:我们一直在强调:要保护一样东西,首先要知道自己有多少这些东西,而他们又在哪里、以怎样的形式存在着。企业对特权账户管理的第一步就是要知道自己有哪些特权账户:自己各个系统的root账户、自己的应用账号、自己的各类凭证。有一个数据可能会出乎很多人的意料:一个企业的特权账户数量是普通账户数量的3到4倍。显然,知道自己有哪些特权账户远比管理自己的普通账户复杂。
- 监控特权账户的变化:企业的人员在不断变化,企业的IT环境也在不断变化。企业需要根据人员与IT环境的变化追踪每个特权账户是否依然有必要保留之前的权限。当发生环境变化时,不仅仅要给原有的账户根据其新角色加上新的权限,也要根据新的角色取消原有的权限。另一方面,针对账户的权限变化进行监控,也能防止异常的账户权限变化——比如攻击者将自身的账户进行提权进行进一步攻击的行为。
- 限制特权账户的权限:安全需要遵守的原则之一是“最小权限原则”——即对人、系统给与的权限只需要满足该实体需要执行自己任务的最低的权限即可。因此,特权账户并不可以被无限制地延伸自己的权限,从特权账户建立的时间开始,就需要对其能进行的权限进行限制。
- 定期整理自己的资产与账户:即使有完善的管理,在整个执行的过程中,依然难免会产生一些疏漏。因此,企业需要定期对自己的资产与账户进行整体的整理。再次强调,特权账户并不局限于对应人的账号上,某些系统、应用本身也是带有特权的实体——而他们也属于企业的特权账户,也是企业的信息资产——而资产本身在企业的生产和运营过程中会不断改变和增加,企业需要定期整理自己的信息资产,并且对自身的信息资产的权限进行整理与管理。
- 部署合适的防御方案:了解自己的特权账户是为了管理以及——防御。企业需要针对性地部署自己特权账户的安全方案。但是,每家企业的IT环境都会因为自身的业务有所不同,因此企业需要根据自己的需求进行特权账户进行防御的部署。这里并不是说企业需要完全进行个性化的安全解决方案,而是需要和专门的特权账户安全供应商合作,在企业特性需求以及网络环境的基础上,打造最适合企业的体系。
对特权账户使用高信任度认证方式:这是很显然的行为,越高权限的账户需要越安全的认证方式。单纯的账号密码组合是绝对不足的,运用短信等多因子验证已经逐渐成为一种趋势。
谁来提供解决方案?
要达成这些目标,显然是不能完全使用人力进行,也不建议使用其他安全系统来作为替代品。最好的方式是用专门的PAM(Privileged Access Management,特权账户管理)工具进行管理——包括特权的给予、提升以及降权等行为。一款优秀的PAM系统不仅仅能够满足以上对特权账户管理的需求,同时也能引导企业建立自身的特权账户管理方案。无论是大型企业,还是中小企业,都需要尽快规划自己对特权账户管理的策略。如果对PAM工具以及厂商不是特别熟悉,下方是最新(2018年12月)Gartner的PAM魔力象限图,可以从象限中参考适合自己的厂商。
在2018年6月Gartner曾经提出2018年的十大网络安全项目,其中特权账号安全被列为第一项的安全重点项目。由此,Gartner在2018年底正式发布了“特权账号安全领域”魔力象限评测。
从领导者的象限上来看,这四家厂商各有各的优势。CyberArk有相当的技术积累以及历史的公司,其在PAM上的产品线与功能相当全面;BeyondTrust则有能和资产与漏洞管理相结合,快速减少威胁面的能力;Centrify提供远程第三方特权账号解决方案,从而不需要再使用VPN;CA Technologies则拥有最好的PSM(Print Services Manager)以及对AWS的准时化特权过滤的支持。
但是,在选择的时候,我们也需要意识到,PAM如今的主要市场在北美和欧洲。比如在Gartner的魔力象限中就提到,Centrify的主要支持都在北美,因此如果主要使用地区在国内,Centrify可能无法提供最有效的支持。当然,也有厂商在开拓亚洲市场,比如CyberArk就在帮助国内企业,打造适合他们的特权账户安全解决方案。企业在选择厂商的时候也需要考虑自己部署的地理位置以及能否获得最直接的技术支持。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
