特权账户风险管理

本文最后更新于2020年3月22日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

=Start=

缘由:

大致整理一下最近看到的和特权账户管理相关的文章的内容,作为一个知识储备,方便以后参考使用。

正文:

参考解答:

事情是做不完的,对于安全来说尤其如此,一方面是因为对于企业来说安全风险是无时不在、无法完全规避的,另一方面是对于企业安全负责人来说必须要面对的就是有限的资源投入。这时,我们就需要抓重点,先做投入产出比高的事情,而特权账户风险管理就是这样一件ROI很高的事情。

以上是之前的一些想法,基本也没啥问题。不过最近又遇到一些事情,有了一点新的想法——团队里聪明人太多,且总盯着ROI高的事情做也不全是好事。因为有ROI高的就有ROI低的,而ROI低的事情并不是不该做,如果你把时间周期拉长,从全局视角来看的话,有些ROI低的事情可能才是基础、关键,如果没人去做这些ROI低的事情,那所谓的ROI高的事情可能也无从谈起了(万丈高楼平地起是需要有稳固的地基支持的)。


(我个人对于企业中特权账户管理(PrivilegedAccountManagement,PAM)的方法和步骤)概括来说主要就是:

  1. (先人工+后自动化)扫描识别
  2. (先人工+后自动化+运营)分类分级
  3. (制度规范+流程+系统)保护控制
  4. (实时+离线、自动化+人工)审计
0x01 【全面】扫描识别【所有】【特权】账户和认证信息

先通过人工(问询、重点代码白盒审计)+自动化(扫描、审计)的方式全面摸排当前企业中存在的各种账户及其管理体系,以及其中是否包含特权账户的访问、控制和审计。

『看见』是1,『其它的』是1后面的一串0,如果无法准确、全面的看见,后面的其它操作可能是毫无意义的。

0x02 根据企业【实际面临的】特权账户相关风险进行分类分级

一个大致的排序:
• 含有根据法规要求而需要保护的数据系统(在国家不断出台网络/信息安全相关法规的大背景下,如果安全没做好,企业可能连入场的资格都没有或是因为违反法律法规而给你取消掉)
• 所在机构最重要的系统(企业的核心业务系统,老板最关注的系统等)
• 具有知识产权或客户数据的系统(在当今数字化比率越来越高的背景下,也是公司核心资产的一个重要部分)
• 已知的易受攻击的系统(比如:通过前期代码审计、渗透测试确认过存在重大安全隐患的系统)

0x03【优先】保护风险最高的账户以【避免出现安全事故】

(人才、资源不受限制的)理想情况下,肯定是所有事情同步进行效率最高、速度最快;但现实中这是不可能的,我们必须在人才、资源都有限的情况下做决定,而此时的一个优先级排序就很重要了,我个人暂时想到的主要有:

  1. 【外部】满足国家、行业的合法合规要求(保留/拿到『入场资格』,安全团队在这里起到的是一个接口人的角色——对外沟通保证渠道畅通、消息灵通,对内传达指导一起配合实现达标);
  2. 【外部】不出大的安全事故(避免公司形象、资金受影响,也是安全团队除了合法合规之外的第一要务);
  3. 【内部】不经常出现小的安全问题(在不出大的安全事故之外,这是对较为成熟稳定的安全团队的一个基本要求——前期救火阶段可以容忍有一小段这样的时间,但不能长时间这样);
  4. 【内部】迅速发现问题,及时解决问题(《孙子兵法》里说『上兵伐谋,其次伐交,其次伐攻,其下攻城』,对应到企业安全里面就是——安全前置,因为越早发现和处理,成本越小、效果越好;当然这是有一个过程的,不论是安全团队自身的资源、能力,还是业务上对此的一个接受程度,但这是有理想的安全团队应该追求的);
0x04 通过更新/制定相关【制度规范、流程】同时建立【系统】以【支撑】特权账户的【保护控制】

安全控制,规定先行,流程支撑,快速高效。通过实际运营,不断反馈增强。

如果这块之前没有做过——
前期可以通过参考行业最佳实践或其它类似较成熟企业的相关内容,结合企业自身的实际情况,先讨论制定出一个版本试运行;
然后随着团队发现和处置能力的提高,以及实际遇到和解决的问题,不断修订更新(当然作为企业的一个基本规定,也不适宜经常更新,除非之前的版本存在明显问题,新的内容可以作为增补条例对基本规定进行补充)。

规定有了之后,对应的发现和处置能力也要不断提高以满足要求,而通过梳理流程SOP,以及建立对应运营平台/系统,可以不断提高和满足这方面的能力。

0x05 在安全性和效率之间做权衡,【逐步完善】审计策略和方法

对于非安全公司来说,业务才是根本,安全本质上是要为业务服务的(对于做得好的企业来说,他们产品具备的安全属性就是业务属性的一部分,可以为业务增值)!

所以安全很重要,但业务更重要,只要业务上不是有影响企业生存、业务发展的重大安全问题,业务优先,安全性做适当取舍(前期安全能力不够的情况下,少卡点,减少对业务的影响;后期安全能力上来之后,主动和业务沟通,发掘业务在安全上的痛点,为业务赋能)。

参考链接:

一篇文章了解特权账户安全
https://mp.weixin.qq.com/s/QA9j_ayxbjCVyri__VODHA

新的一年, 特权账户风险管理如何部署?
https://mp.weixin.qq.com/s/gVINb9fydM_XFUY4bta60Q

身份管理入门
https://mp.weixin.qq.com/s/ph7gPcAXL1FAch64oiAEyw

最佳身份管理建议
https://mp.weixin.qq.com/s/wicH6KphahMZx98RYZW1TQ

特权账户管理:网络安全的小秘密
https://mp.weixin.qq.com/s/nOSzOblTLddEWRzZrUsVqg

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4784.html

《特权账户风险管理》上的一个想法

  1. 特权账号管理那些事
    https://www.freebuf.com/articles/neopoints/249013.html
    `
    一、什么是特权账户
    二、特权账户有哪些特点
    三、特权账户存在哪些风险
    四、特权账户管理难点在哪儿

    五、特权账户如何管理
    1、账户集中管理
    2、密码口令管理
    3、账户自动发现
    4、访问管理
    5、提供密码调用服务
    6、流程控制
    7、日常监控
    8、日常审计

    六、企业在特权账户管理实施过程中应该关心什么
    1、对多种平台、系统的兼容能力
    2、账户凭证(密码)自动改密的可靠性
    3、特权账号平台自身的安全性和鲁棒性
    4、密码调用接口的稳定性和安全性
    5、横向扩展能力
    七、其他可能关心的问题
    1、特权账户管理系统与堡垒机的关系
    2、特权账户管理系统与LDAP/IAM系统的关系
    3、特权账户管理系统在网络攻防中的价值

    八、结束语
    从技术上看,现在市场上“特权账号管理”的相关解决方案的确是一种比较好的特权账号管理解决方案;但是,从甲方企业视角看特权账号管理,他们的解决方案只是企业特权账号管理整体解决方案的一个点或几个点。做个类比,如果把企业安全建设看作是一个“战略”,企业特权账号管理一个“战术行动”,以上公司提供的解决方案最多只能算“一场战役或几个战役”。不过这几场战役可能是特权账号管理中的“重点战役”、“核心战役”,但是如果没有其他“战役”做支持,单靠这几个战役是很难达成“战术目的”。甲方企业的特权账号管理必须要从制度建设、流程控制、技术管控与监控审计等多个方面拿出整体解决方案,才能在特权账号管理领域形成较为有效的安全管控能力,建设特权账户管理平台只是一个开始。
    `

发表评论

邮箱地址不会被公开。 必填项已用*标注