他们对你的组织是必要的,但他们也可能是一个威胁. 他们是你的特权用户. 本文将介绍什么是特权用户、可能发生的威胁以及如何降低风险.

什么是特权用户?

在组织能够处理特权用户内部威胁并实现正确的监视和缓解最佳实践之前, 它必须首先定义特权用户. 通常情况下,这是一名有权访问公司敏感数据的员工. 通常,他们可以在组织的网络上执行管理任务. 公司需要有特权的用户来处理源代码, 维护文件系统,实施网络升级或处理其他技术变化.

大多数有特权的用户将保持其组织资产的完整性. 然而, 它们能够轻易绕过通常受到限制的控制,这使得这些资产变得脆弱. 此外,有时还会滥用执行任务所需的临时访问权限. 有两种方法来确定特权用户访问:

  1. 考虑用户在物理上可以访问什么
  2. 考虑用户可以用他们的凭证访问什么

更多的访问和更少的控制带来了更多的安全挑战. 当一个组织缺乏良好的安全程序或不始终执行它时, 它使知识产权——如敏感产品数据或员工信息——容易受到特权用户的威胁.

事实上, 注册舞弊审查员协会 (ACFE)指出,由于自身员工的欺诈行为,企业平均每年损失5%的收入. 通常, 它是由组织it部门的人员所承担的, 因为他们拥有其他员工所缺乏的技术知识. 然而,重要的是要记住,冒犯者可能并不总是特权用户. 可能是组织外的某个人通过网络钓鱼获得了It员工的证书.

什么是特权用户威胁?

波耐蒙研究所的报告《ag怎么注册》 & 内幕的威胁,发现大多数组织都难以识别与内部人员行为相关的可信威胁. 其中69%的受访者表示,他们无法在入侵前识别出此类威胁. 此外, 报告发现,42%的受访者不相信自己能辨别出他们的特权用户是否符合政策——只有16%的人对这些领域非常有信心.

特权用户威胁的危险信号是很微妙的. 其他的更明显. 下面是一些例子:

  • 试图进入一个未被批准进入的区域.
  • 以一种通常不使用的方式使用凭证(例如.g. 网络登录).
  • 利用许可蠕变,这种情况通常发生在转调员工和前员工之间.

那么一个组织该如何保护自己呢? 通过监视人类行为来确定特权用户的上下文和意图. 通过实施正确的政策,可以通过纵深防御的方法实现监测, 控制和技术. 安全监控是否到位并持续执行, 企业将很快知道是否有需要采取行动的事件.

实施最佳实践以降低风险

一旦您定义了特权用户并为您的环境确定了潜在的威胁签名, 你应该实施控制, 降低风险的政策和技术. 考虑以下:

  1. 将公司内的特权用户帐户限制为那些需要它的职位-包括共享特权用户帐户和本地管理员权限. 此步骤需要定期监视,以跟踪身份验证尝试的性质.
  2. 让关键人物参与进来,批准所有权限. 在理想的情况下, 批准应该来自被请求访问的员工指挥链内的某人(例如.g. 直接主管). 在票务系统中正式记录访问请求. 提交访问请求以及访问的业务理由应该是一种需求.
  3. 给员工一个清晰的蓝图,指导他们通过安全流程, 所以没有误解或滥用的余地. 过程应包括:a)沟通并执行严格的帐户管理和密码政策, b)确保他们在完成每个任务后正确地注销特权用户帐户,并且只访问与他们的工作相关的区域. 令人惊讶的是, 波耐蒙的报告还发现,65%的受访者是出于好奇而不是出于工作需要而钻研敏感或机密数据. 另外, 所有人员——无论他们是否是特权用户——都应该接受培训,并定期提醒他们避免将敏感数据转发到个人电子邮件中.
  4. 投资正确的技术来保护您的组织,并采取多层次的方法. 单一的技术并不能完全保护您的组织. 特权帐户管理(PAM)——它使企业能够控制特权共享帐户的使用,如root/Administrator帐户. PAM允许粒度、上下文驱动或时间限制的超级用户特权. 它还更详细地监视共享帐户的使用和超级用户特权. 如果正确配置和监视,安全信息和事件管理(SIEM)系统可以通知组织未经授权的数据访问. 它可以为行为设定基线,并注意偏差(例如.e. 访问一个特权用户以前没有访问过的区域). 记住,SIEM并不能阻止实际的入侵. 数据治理解决方案能够确定用户的当前访问权限,并对执行最低权限时用户的实际访问权限做出智能建议. 数据治理解决方案还可以分析文件系统权限,并在当前定义的具有访问权限的用户和组无法访问资源时提出删除文件资源访问的额外智能建议.
  5. 争取人力资源支持你的努力. 可以采取措施增强特权用户访问安全性. 它们包括保密协议、竞业禁止协议和背景调查. 上述报告发现,57%的受访者表示,在发放特权账户凭证之前,没有进行背景调查. 主动地进行这些检查可以很容易地减少威胁范围,并达到符合支付卡行业数据安全标准(PCI-DSS)的双重目的。, 联邦信息安全管理法(FISMA)和萨班斯-奥克斯利法(SOX)法规. 更进一步,对求职者进行更全面的面试.e.——打电话给推荐人,问更具体的问题等等.)可以进一步减少潜在的威胁.
  6. 立即对特权用户内部事件采取行动.  当一个人被认出来, 应该打开带有相关信息(适用日志)的事件跟踪票据, 例如). 它应该被分配到帮助台或安全小组进一步调查. 人们甚至可能发现,特权用户之外的其他人通过黑客技术访问了他或她的登录凭据.

尽管大多数组织都有相应的政策和程序, 很多人并没有定期执行. 至少,应该每年对特权用户访问进行一次审查. 审查可以确定是否允许不需要访问的用户访问,以及是否应该由于滥用或改变工作角色而取消访问.

低估的技术 & 过程ROI

上面强调了几种可以减少特权内部威胁的技术和流程. 然而,许多组织并没有给这些技术和过程赋予价值. 不幸的是,只有不到一半的预算专门用于减少此类威胁的技术. 经常, 管理层甚至没有看到确保权限严格的价值——当前的安全体系结构可能没有设置来解决这些安全措施.

此外, 一些有互联网存在的组织选择有网络保险以防他们受到损害. 然而, 保险公司很少让这些组织负责实施技术和流程,以防止它们受到公众伤害/其他违规行为. 许多人只是认为它没有重要到需要执行或实现.

它充分说明了自满会导致问题. 虽然技术不能解决所有问题或减轻所有威胁, 它可以大大减少其中的许多, 特别是如果技术的实施经过深思熟虑并得到一致的监控.

结论

作为起点,强烈鼓励所有组织进行风险评估. 风险评估将有助于确定特权用户内部威胁, 以及更清楚地说明哪些控制措施缺失,哪些政策需要完善.

一旦它完成, 您将能够更好地创建一个覆盖所有区域(人)的安全计划, 流程和技术). 相应的计划并争取管理层的支持. 然后实现适当的技术和过程,如果它能将组织的风险降低到可接受的水平.

我们都希望agapp员工永远不会危及我们组织的安全, 但它确实发生了. 即使你的特权用户能够完整地访问网络, 还有一些人只是在等待,希望您的特权用户会出错, 这样他们就可以溜进去了.

友情链接: 1 2