首席信息官面临着必须保护其业务的悖论,同时简化了公司需要增长的信息和系统的访问。他们面临的威胁方案要求采用一种安全方法,该方法适用于任何威胁表面上的每次访问尝试的风险上下文。使用风险评分来区分尝试在风险较高的上下文中访问安全系统的特权用户,而不是正常的攻击者滥用特权凭证,这已被证明是阻止基于凭据的违规行为的有效方法。
特权凭证滥用是有组织犯罪和国家支持的网络犯罪组织使用的最流行的违规策略之一。他们宁愿走进企业系统的大门而不是黑客入侵。74%接受过调查的IT决策者过去曾表示,其中涉及特权访问凭据滥用,但只有48%的人拥有密码保险库。只有21%的用户使用多重身份验证(MFA)来实现特权管理访问。这些以及许多其他见解来自Centrify最近的调查,即现代威胁中的特权访问管理。
每个CIO安全策略面临的挑战是实时适应风险背景,准确评估每个威胁表面的每次访问尝试,每个风险评分以毫秒为单位。通过采用“永不信任,始终验证,实施最低权限”的安全方法,CIO可以提供自适应的,上下文准确的基于零信任的方法来验证特权凭证。Zero Trust Privilege正在成为一种经过验证的框架,可通过验证谁请求访问权限,请求的上下文以及访问环境的风险来阻止特权凭据滥用。
通过采用最小权限访问方法,组织可以最小化攻击面,提高审计和合规性可见性,并降低运营现代混合企业的风险,复杂性和成本。CIO正在通过了解即使特权用户输入了正确的凭据但请求带有风险上下文来解决特权凭证滥用的悖论,然后需要更强的验证来允许访问。
制止特权证件滥用的策略
以下是CIO需要集中精力停止特权凭证滥用的五种策略。从特权帐户清单开始,通过找到IT基础架构中的空白,为特权凭证滥用创造机会,CIO及其团队现在需要采取先发制人的行动,以避免将来发生潜在的违规行为。
发现并清点所有特权帐户及其凭据,以定义谁负责管理其安全性和使用。
根据Gartner的一项调查,超过65%的企业允许共享使用特权帐户而不对其使用负责。CIO们意识到缺乏一致的治理策略会为特权凭证滥用创造许多机会。他们还发现了孤立帐户,多个所有者凭证,以及大多数系统管理员拥有大多数企业系统的超级用户或root用户访问权限。
保护您的云平台的Root帐户并联合访问AWS,Google Cloud Platform,Microsoft Azure和其他公共云控制台。
您的企业所依赖的每个云平台上的Root密码都是“王国的关键”,并为公司内外的不良参与者提供了轻松渗透数据的能力。最近有关被解雇员工如何删除其前雇主的23台AWS服务器的消息是一个警示故事,讲述了当零信任方法不采用特权凭证时会发生什么。Centrify的调查发现,63%或者组织在离开公司后需要花费一天以上的时间来关闭员工的权限访问权限。鉴于AWS root用户帐户有权立即删除所有实例,组织必须拥有存储AWS root帐户凭据的密码保管库。使用集中身份(例如,Active Directory)并启用联合登录,而不是本地AWS IAM帐户和访问密钥。通过这样做,您可以消除对长期访问密钥的需求。
审核特权会话并分析模式,以查找潜在的特权凭据共享或滥用,而不会立即从审计中明显看出。
审核并记录所有企业系统中的授权和未授权用户会话,尤其关注所有平台上的root密码使用。采取此步骤对于为使用中的每个特权凭证分配问责制至关重要。它还会告诉您是否在组织中广泛共享特权凭据。采用零信任方法来保护特权凭证将很快找到可能存在潜在失误或漏洞的区域。对于AWS账户,请务必使用AWS CloudTrail和Amazon CloudWatch监控所有AWS实例和您的AWS账户的所有API活动。
尽可能在现有基础架构内实施最小权限访问,根据Zero Trust的基础定义安全路线图作为您未来的方向。
使用所有特权帐户的清单作为基准,立即更新每个凭证的最小权限访问权限并实施特权提升流程,从而降低整体风险和攻击者横向移动和提取数据的能力。“信任但验证”的日子已经结束。最近发言的保险和金融服务公司的首席信息官指出,他们的新业务模式,都严重依赖安全的互联网连接,使Zero Trust成为他们未来服务战略的基石。他们都超越了“信任但验证”,采用更具适应性的方法来实时了解威胁表面的风险背景。
在所有威胁表面上采用多因素身份验证(MFA),可以适应和灵活处理每个资源请求的风险上下文。
运营一系列保险和金融服务公司的首席信息官,其中一些是我的前MBA学生,他们表示,多因素身份验证是防止特权凭证滥用的必要条件。他们采取的做法是添加一个身份验证层,用他们所知道的东西(用户名,密码,PIN或安全问题)查询用户(智能手机,一次性密码令牌或智能卡),他们是什么(像指纹这样的生物特征识别和他们已经完成的事情(他们通常在哪里进行的上下文模式匹配)有助于在采用特权凭证时以指数方式滥用特权凭证滥用。这是一个悬而未决的成果:自适应MFA使得这种额外验证对生产力的影响几乎没有实际意义。