特权账户风险管理

本文最后更新于2020年3月22日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

大致整理一下最近看到的和特权账户管理相关的文章的内容,作为一个知识储备,方便以后参考使用。

正文:

参考解答:

事情是做不完的,对于安全来说尤其如此,一方面是因为对于企业来说安全风险是无时不在、无法完全规避的,另一方面是对于企业安全负责人来说必须要面对的就是有限的资源投入。这时,我们就需要抓重点,先做投入产出比高的事情,而特权账户风险管理就是这样一件ROI很高的事情。

以上是之前的一些想法,基本也没啥问题。不过最近又遇到一些事情,有了一点新的想法——团队里聪明人太多,且总盯着ROI高的事情做也不全是好事。因为有ROI高的就有ROI低的,而ROI低的事情并不是不该做,如果你把时间周期拉长,从全局视角来看的话,有些ROI低的事情可能才是基础、关键,如果没人去做这些ROI低的事情,那所谓的ROI高的事情可能也无从谈起了(万丈高楼平地起是需要有稳固的地基支持的)。


(我个人对于企业中特权账户管理(PrivilegedAccountManagement,PAM)的方法和步骤)概括来说主要就是:

  1. (先人工+后自动化)扫描识别
  2. (先人工+后自动化+运营)分类分级
  3. (制度规范+流程+系统)保护控制
  4. (实时+离线、自动化+人工)审计
0x01 【全面】扫描识别【所有】【特权】账户和认证信息

先通过人工(问询、重点代码白盒审计)+自动化(扫描、审计)的方式全面摸排当前企业中存在的各种账户及其管理体系,以及其中是否包含特权账户的访问、控制和审计。

『看见』是1,『其它的』是1后面的一串0,如果无法准确、全面的看见,后面的其它操作可能是毫无意义的。

0x02 根据企业【实际面临的】特权账户相关风险进行分类分级

一个大致的排序:
• 含有根据法规要求而需要保护的数据系统(在国家不断出台网络/信息安全相关法规的大背景下,如果安全没做好,企业可能连入场的资格都没有或是因为违反法律法规而给你取消掉)
• 所在机构最重要的系统(企业的核心业务系统,老板最关注的系统等)
• 具有知识产权或客户数据的系统(在当今数字化比率越来越高的背景下,也是公司核心资产的一个重要部分)
• 已知的易受攻击的系统(比如:通过前期代码审计、渗透测试确认过存在重大安全隐患的系统)

0x03【优先】保护风险最高的账户以【避免出现安全事故】

(人才、资源不受限制的)理想情况下,肯定是所有事情同步进行效率最高、速度最快;但现实中这是不可能的,我们必须在人才、资源都有限的情况下做决定,而此时的一个优先级排序就很重要了,我个人暂时想到的主要有:

  1. 【外部】满足国家、行业的合法合规要求(保留/拿到『入场资格』,安全团队在这里起到的是一个接口人的角色——对外沟通保证渠道畅通、消息灵通,对内传达指导一起配合实现达标);
  2. 【外部】不出大的安全事故(避免公司形象、资金受影响,也是安全团队除了合法合规之外的第一要务);
  3. 【内部】不经常出现小的安全问题(在不出大的安全事故之外,这是对较为成熟稳定的安全团队的一个基本要求——前期救火阶段可以容忍有一小段这样的时间,但不能长时间这样);
  4. 【内部】迅速发现问题,及时解决问题(《孙子兵法》里说『上兵伐谋,其次伐交,其次伐攻,其下攻城』,对应到企业安全里面就是——安全前置,因为越早发现和处理,成本越小、效果越好;当然这是有一个过程的,不论是安全团队自身的资源、能力,还是业务上对此的一个接受程度,但这是有理想的安全团队应该追求的);
0x04 通过更新/制定相关【制度规范、流程】同时建立【系统】以【支撑】特权账户的【保护控制】

安全控制,规定先行,流程支撑,快速高效。通过实际运营,不断反馈增强。

如果这块之前没有做过——
前期可以通过参考行业最佳实践或其它类似较成熟企业的相关内容,结合企业自身的实际情况,先讨论制定出一个版本试运行;
然后随着团队发现和处置能力的提高,以及实际遇到和解决的问题,不断修订更新(当然作为企业的一个基本规定,也不适宜经常更新,除非之前的版本存在明显问题,新的内容可以作为增补条例对基本规定进行补充)。

规定有了之后,对应的发现和处置能力也要不断提高以满足要求,而通过梳理流程SOP,以及建立对应运营平台/系统,可以不断提高和满足这方面的能力。

0x05 在安全性和效率之间做权衡,【逐步完善】审计策略和方法

对于非安全公司来说,业务才是根本,安全本质上是要为业务服务的(对于做得好的企业来说,他们产品具备的安全属性就是业务属性的一部分,可以为业务增值)!

所以安全很重要,但业务更重要,只要业务上不是有影响企业生存、业务发展的重大安全问题,业务优先,安全性做适当取舍(前期安全能力不够的情况下,少卡点,减少对业务的影响;后期安全能力上来之后,主动和业务沟通,发掘业务在安全上的痛点,为业务赋能)。

参考链接:

一篇文章了解特权账户安全
https://mp.weixin.qq.com/s/QA9j_ayxbjCVyri__VODHA

新的一年, 特权账户风险管理如何部署?
https://mp.weixin.qq.com/s/gVINb9fydM_XFUY4bta60Q

身份管理入门
https://mp.weixin.qq.com/s/ph7gPcAXL1FAch64oiAEyw

最佳身份管理建议
https://mp.weixin.qq.com/s/wicH6KphahMZx98RYZW1TQ

特权账户管理:网络安全的小秘密
https://mp.weixin.qq.com/s/nOSzOblTLddEWRzZrUsVqg

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4784.html

《特权账户风险管理》上的2个想法

  1. 特权账号管理那些事
    https://www.freebuf.com/articles/neopoints/249013.html
    `
    一、什么是特权账户
    二、特权账户有哪些特点
    三、特权账户存在哪些风险
    四、特权账户管理难点在哪儿

    五、特权账户如何管理
    1、账户集中管理
    2、密码口令管理
    3、账户自动发现
    4、访问管理
    5、提供密码调用服务
    6、流程控制
    7、日常监控
    8、日常审计

    六、企业在特权账户管理实施过程中应该关心什么
    1、对多种平台、系统的兼容能力
    2、账户凭证(密码)自动改密的可靠性
    3、特权账号平台自身的安全性和鲁棒性
    4、密码调用接口的稳定性和安全性
    5、横向扩展能力
    七、其他可能关心的问题
    1、特权账户管理系统与堡垒机的关系
    2、特权账户管理系统与LDAP/IAM系统的关系
    3、特权账户管理系统在网络攻防中的价值

    八、结束语
    从技术上看,现在市场上“特权账号管理”的相关解决方案的确是一种比较好的特权账号管理解决方案;但是,从甲方企业视角看特权账号管理,他们的解决方案只是企业特权账号管理整体解决方案的一个点或几个点。做个类比,如果把企业安全建设看作是一个“战略”,企业特权账号管理一个“战术行动”,以上公司提供的解决方案最多只能算“一场战役或几个战役”。不过这几场战役可能是特权账号管理中的“重点战役”、“核心战役”,但是如果没有其他“战役”做支持,单靠这几个战役是很难达成“战术目的”。甲方企业的特权账号管理必须要从制度建设、流程控制、技术管控与监控审计等多个方面拿出整体解决方案,才能在特权账号管理领域形成较为有效的安全管控能力,建设特权账户管理平台只是一个开始。
    `

  2. 群话题 | 数据安全和应用安全的TOP3痛点,app人脸安全sdk要及时升级,不同岗位设置不同的安全意识培训内容,安全左移的实践
    https://mp.weixin.qq.com/s/Q_1tf2Zw2tLwYRoH1MnTRA
    `
    一、我来请教一下大家,对于数据安全和应用安全的TOP3痛点是什么?跪求大家分享一下遇到的自己的心得。

    数据安全:
    1、权限问题 2、线下泄露 3、大规模安全教育如何渗透

    数据安全:
    1.数据流转过程的追溯 2.数据不落地的加工分析 3.衍生数据的owner定义

    数据安全:
    1.我们有哪些数据(特别是收集了哪些个人数据),即我们的家底到底是怎样的;2.这些数据处理是否安全及合规,即风险现状;3.怎么证明做到了安全+合规?

    数据安全:
    1.数据权属的确定;2.对外数据流的监控(字段和量)

    数据安全:
    1、数据资产分类分级;2、数据流转监控分析;3、数据加密落地

    看企业数据安全的痛点之前,要确定数据安全目标是啥,想要到达什么样的效果。比如想要在企业内部建立数据安全分类标准、分级保护措施推动、平衡业务发展,那跨部门协同平衡各方声音就比较难,主要是没有强制性监管要求。

    二、金融行业泄漏大多来自第三方合作,一线或二线业务,基于历史往回溯着搞,再举一反三,是一个办法,还有就是离职人员了。

    第三方我觉着就是个分层管控。之前我调研的时候,看到NIKE对那些代理商,都有很严的要求,比如上传日志,安装agent之类。但NIKE是一家独大,所以他可以有资格摆谱。对那些合作方,就得有不同程度的分层对待,有些合作方是你求着他。比如我求政府在哪个业务上合作,我就没法要求政府ABCD,但我可以提出建议,或者整体承包,加强黑市监控之类。

    三、惊讶于竟然能对不同的岗位设置不同的培训,学习了。
    对高管就要先提供服务,并且提供解决方案,领导会给你站台,钓鱼第一次可以是选择题,给你们发了10个邮件,请回答哪3个是钓鱼。搞了几次突击钓鱼之后,就可以平台常态化,每天发几个,避免互相对答案,季度做排名或者只告诉领导提升率。安全竞赛我们这的最大收货是,挖掘出不是安全职能但是安全能力比较强的同学,这些人喜欢pwn但不喜欢干活,后来压榨了他们重要价值。建议增加个反馈,比如面向安全员或员工问卷,他们觉得效果如何。

    是的,做安全活动有利于缓解研发与安全的矛盾。做时间长了,研发告诉安全,这个地方有漏洞。在安全活动中,我们还有员工提交漏洞,提交不合规,敏感数据的活动,结果一个月员工提交的问题比我们一个季度找的还多。还是需要深入群众,发动群众的力量。

    四、我们钓鱼还有一个原则,就是与安全培训要求相匹配,如果内部领导发个word你一打开就中招,那要做的其实是禁用宏而不是安全培训了。如果发exe,那就是你的问题,怎么能执行呢,安全意识去哪了!

    五、《被判刑:女警以每月700元的价格,将警务通租给中介查询驾驶证信息》业务安全啊,怎么发现异常的?查太多了,这个查询什么都是对应到警号的,四万次,平均每天1000多次,查太多了。
    `

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注