【51CTO.com 快译最近的研究表明,公司需要更多地关注他们的特权账户。
自从获悉了VERIZON调查报告中显示的63%的数据丢失与默认弱密码和密码被盗有关,特权访问管理(Privileged access management - PAM) 受到许多安全经理的青睐。黑客获取数据的常用工具与特权账户有关。
本周有两篇文章PAM的***报告指出,虽然每个人都是对的PAM意识正在增强,但仍有许多人希望成为主流“功课”需要去做。例如,BeyondTrust.com发布的报告指出,76%***只有14%的底层公司真正遵循密码循环更新策略***练习。所谓的***公司占BeyondTrust550名受访者中的三分之一。BeyondTrust斯科特,特权策略总监•朗表示:“***公司之间的[和]或其他公司之间的差异实际上是相当大的。引人注目的是,只有3%的受访者时终止会话。”
受Forcepoint之托,Ponemon2011年和2014年的研究所PAM做了持续的研究。本周发布的报告显示,91%的人认为,滥用用户特权的风险将在未来12 - 在24个月内增加或至少持平。研究还发现,39%的人对特权用户访问的完整可见性缺乏信心,无法判断用户是否符合要求。只有18%的人对这种能力有足够的信心。
“许多组织甚至不能说什么Ground Zero (一个著名的信息安全峰会名称),” Forcepoint迈克尔,联合科技销售总监·克劳斯说,“公司专注于外部威胁是可以理解的,但内部特权用户造成的数据泄露同样重要,甚至更具破坏性”。他还说:“各级组织必须意识到,授予特殊访问权的人具有巨大的破坏性。他们可以安装一些恶意软件,只有在两周甚至几个月后才生效。”
基于对朗先生和克劳斯先生的采访以及两份报告中提到的数据,本文提出了以下七个提示,旨在帮助信息安全经理改进PAM管理实践能力。
1. 实施最小特权政策
特权用户应只有工作所需的访问权。Forcepoint/Ponemo报告发现,74%的受访者表示,特权用户认为他们有权访问所有信息;66%的人认为特权用户会出于好奇访问敏感或机密的数据。此外,58%的人认为,公司组织通常向用户分配远远超过个人角色和责任的特权访问权。
这个“最小特权政策”这个概念也可以扩展到所有用户。专家建议,该公司授权访问应用程序,而不扩展访问特权。该公司没有理由让一个人拥有超出其工作范围的访问特权。例如,如果一名员工在家工作时需要访问一个打印服务器,该公司只授权他访问指定的打印服务器。这样,一旦他们设置了服务并建立了打印连接,他们就可以立即取消相应的许可证。
2. 利用漏洞评估来管理风险,在组织中获得特权账户的可见性
BeyondTrust报告指出,91%***公司进行漏洞评估;只有20%***层组织这样做。没有公司风险状况的可见性等于为组织的潜在风险打开了大门。例如,通过对企业的常规漏洞评估,他们可以知道30、60或90天内没有对系统进行补丁。换句话说,通过漏洞评估,他们可以明智地决定是否向系统发布补丁。
3. 建立密码集中管理政策
BeyondTrust报告还指出,92%***公司对特权用户实施密码集中管理;只有25%***层公司就是这么做的。公司经常需要定期更新密码。这个周期可以是每10、20或30天,可以根据组织本身的情况来确定。
4. 加强对特权会话的监控
BeyondTrust报告还指出,71%***公司有能力监控特权账户的对话;只有49%***层组织可以做到这一点。约45%的公司可以实时观察和终止会话;只有3%的公司只能实时终止会话。记住:当一些不寻常的行为发生时,监控和终止会话的能力对保护组织系统非常有效。
5. 对获得特权访问的账户进行彻底的背景调查
Forcepoint/Ponemo63%的研究组织在发放特权凭证前进行了彻底的背景检查。这比2014年的57%增加了。然而,事实上,37%的组织没有进行背景调查,因为他们害怕引起用户恐慌的潜在风险。
6. 现代组织特权用户培训计划
Forcepoint/Ponemo大约60%的受访者有定期的特权用户培训计划,但只有27%的人认为这些培训计划有能力大大降低风险。原因是大部分培训内容都是静态复选框式30分钟视频,会给人带来无聊感。今天的工人大多是千禧一代,不容易集中注意力,但会对互动培训材料做出更好的反应。
7. 对业务部门特权用户认证的责任
Forcepoint/Ponemo研究发现,46%的受访者认为部门经理最负责授权特权用户角色认证。这确实是一个值得加强的好趋势。IT安全分析师们有着这样面向流程的“世界观”:他们认为“谁可以访问哪些应用程序和数据集”它应该由业务部门经理决定,他有更广泛的公司经营理念。
原文标题:How To Bullet Proof Your PAM Accounts: 7 Tips 作者:Steve Zurier
【51CTO转载合作网站时,请注明原译者和出处51CTO.com】
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。