
抗D云WAF
下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

云御游戏盾
专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。
保护特权账号安全对于减少攻击的影响至关重要。
对于每一个黑客而言,一般都有如下的典型攻击模式:收集攻击对象信息、嗅探以及发现攻击路径、对目标进行攻击并且获取接入权限、给自己的接入账号进行提权——当然,如果能直接获取特权账号就事半功倍了。因此,对于攻击者而言,在最初的攻击当中,目标都是获取尽可能高权限的账号,这样就能在目标系统中不受限地进行各种操作,达成自己的目的。同时,安全专家也估计,在他们进行调查的严重网络攻击事件中有80%到“几乎全部”都在攻击过程的某个环节利用了特权账户。
典型的保护特权账号安全的流程
可以发现,特权账号的保护是不得不注意的一点。在大部分企业对于信息的保护以及账号保护的方案,一般都基于以下几点:
这些措施都是非常正确,并且是必须实行的。但是,我们需要意识到的是,如果特权账户无法获得适当的保护,以上的保护可能都会被绕过变得形同虚设。
然而,绝大部分企业对特权账户的保护有以下几个很大的误区与问题:
我们该做什么?
特权账户的防御往往是保护数据泄露的最后一道防线。安全专家们给企业的特权账户管理提出了以下几个建议:
对特权账户使用高信任度认证方式:这是很显然的行为,越高权限的账户需要越安全的认证方式。单纯的账号密码组合是绝对不足的,运用短信等多因子验证已经逐渐成为一种趋势。
谁来提供解决方案?
要达成这些目标,显然是不能完全使用人力进行,也不建议使用其他安全系统来作为替代品。最好的方式是用专门的PAM(Privileged Access Management,特权账户管理)工具进行管理——包括特权的给予、提升以及降权等行为。一款优秀的PAM系统不仅仅能够满足以上对特权账户管理的需求,同时也能引导企业建立自身的特权账户管理方案。无论是大型企业,还是中小企业,都需要尽快规划自己对特权账户管理的策略。如果对PAM工具以及厂商不是特别熟悉,下方是最新(2018年12月)Gartner的PAM魔力象限图,可以从象限中参考适合自己的厂商。
在2018年6月Gartner曾经提出2018年的十大网络安全项目,其中特权账号安全被列为第一项的安全重点项目。由此,Gartner在2018年底正式发布了“特权账号安全领域”魔力象限评测。
从领导者的象限上来看,这四家厂商各有各的优势。CyberArk有相当的技术积累以及历史的公司,其在PAM上的产品线与功能相当全面;BeyondTrust则有能和资产与漏洞管理相结合,快速减少威胁面的能力;Centrify提供远程第三方特权账号解决方案,从而不需要再使用VPN;CA Technologies则拥有最好的PSM(Print Services Manager)以及对AWS的准时化特权过滤的支持。
但是,在选择的时候,我们也需要意识到,PAM如今的主要市场在北美和欧洲。比如在Gartner的魔力象限中就提到,Centrify的主要支持都在北美,因此如果主要使用地区在国内,Centrify可能无法提供最有效的支持。当然,也有厂商在开拓亚洲市场,比如CyberArk就在帮助国内企业,打造适合他们的特权账户安全解决方案。企业在选择厂商的时候也需要考虑自己部署的地理位置以及能否获得最直接的技术支持。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
马上开启您的安全之旅
立即开启