特權賬戶應用的常見錯誤與防護建議

“特權”的概念對于保護計算機和網絡而言是不可或缺的，主要存在與維護網絡和系統的管理員帳戶中，具有對數據和信息系統的完全可見性和控制權。攻擊者自然也十分清楚這一點。據最新的調查數據顯示，在最近一年所有發生的嚴重網絡攻擊事件中，超過80%的攻擊者利用了特權賬戶。

 特權賬戶應用的常見錯誤

研究人員發現，在實際應用中，很多特權賬戶的使用者并不知道或不理解遵守網絡安全制度的重要性，往往為了簡化或加快日常工作流程，而忽視了安全后果。很多企業在特權賬戶的應用和管理中，存在以下常見的錯誤：

01、對特權賬戶保護不夠重視

保護特權賬戶并不完全是指對數據的分類保護、對賬戶的登錄認證這些方面。事實上，由于企業的IT環境在不斷變化，特權賬戶的歸屬本身也在不斷變化。當發生人事調動，以及使用了不同的系統時，特權賬戶的使用情況會發生變化，一旦不進行妥善處理，就會留下內部人員賬戶權限過大以及僵尸特權賬號的問題，從而留下內部以及外部的安全隱患。

此外，密碼是保護特權賬戶不被非法使用的關鍵，有很多安全管理密碼的建議，比如使用復雜的密碼和定期更新密碼，但很少有人愿意去做。

02、未使用MFA驗證機制

多因素身份驗證（MFA）是目前企業網絡安全防護策略中的黃金標準。這項技術通過在身份驗證過程中添加更多的驗證層，可以更好地保護敏感數據免受未經授權的訪問。但是，一些特權用戶為了操作方便，會違規禁用額外的身份驗證措施，因為他們可能覺得等待驗證密碼是浪費時間。如果沒有MFA，企業的敏感數據將失去一層關鍵性的保護。因此，組織需要嚴格要求對所有用戶實施多種措施結合的身份驗證策略。

03、特權賬號的違規共享

特權賬號應該只授予那些需要它們的人，并且獲得網絡安全管理者批準后，特權才能存在。但在現實工作中，特權賬戶憑據卻常常被運維人員違規共享和濫用。另一種常見的情況是，一個團隊共享一個特權帳戶來管理相關應用程序、網站或云存儲服務，因為創建多個特權帳戶將需要經歷多次審批流程。在對特權賬戶進行管理時，可見性是必不可少的。如果有兩個或更多的人使用同一個特權帳戶，將無法分辨到底誰做了什么。因此，一旦發生了安全事件，也無法判斷該由誰來負責。

04、過度使用特權賬號

當特權帳戶的使用頻率超過工作所需時，就會增加組織的脆弱性。正確的做法是將特權帳戶與普通帳戶區分開來，并且嚴禁用特權帳戶執行日常性工作任務。但是，即便企業將此實踐定為安全管理策略的明確要求，特權用戶也有往往會忽略或破壞它。在這種情況下，可以考慮部署密碼管理工具。這樣的工具會幫助企業限制特權帳戶的訪問時間，并強制用戶注銷具有更高特權的帳戶。

05、忽視網絡安全政策

無論企業的網絡安全管理制度中制定了什么規則，都可能會有人不遵守這些規則。特別在一些中小型企業中，很多員工會認為：我們的IT系統沒那么復雜，我們的企業沒有被攻擊的價值，因此不需要那么多的安全防護。然而，今天的網絡攻擊是無孔不入的，雖然看上去獲益不大，但是因為中小企業缺乏足夠的安全防護，因此攻擊更容易達成。因此，企業應該重視并加強網絡安全意識培訓，使特權用戶養成遵守組織安全政策的工作習慣。

 加強特權賬戶管理的建議

保護特權賬號安全對于防范網絡攻擊至關重要。安全研究人員給企業的特權賬戶管理提出了以下幾個建議：

1. 充分了解所有的特權賬戶：企業對特權賬戶管理的第一步就是要知道組織究竟有多少特權賬戶。研究數據顯示，一個企業中的特權賬戶數量往往是普通賬戶數量的3-4倍。顯然，要充分掌握有哪些特權賬戶是一件非常復雜的工作。
2. 監控特權賬戶的變化：企業的人員在不斷變化，企業的IT環境也在不斷變化。企業需要根據人員與IT環境的變化追蹤每個特權賬戶是否依然有必要保留之前的權限。同時，針對賬戶的權限變化進行監控，也能防止異常的特權賬戶使用行為。
3. 限制特權賬戶的權限：安全需要遵守的原則之一是“最小權限原則”。因此，特權賬戶并不可以被無限制地賦予不需要的管理權限，從特權賬戶建立開始，就需要對其進行合理的權限使用限制。
4. 定期整理所有的賬戶資產：企業需要定期對自己的所有賬戶資產進行系統整理。特權賬戶并不局限于人的賬號，一些應用系統本身也是帶有特權的實體，其在企業的生產和運營過程中也會不斷改變和增加，企業需要定期整理自己的所有信息資產，并且對和資產相關的所有權限進行整理與管理。
5. 部署完善的防御技術方案：每家企業的IT環境都有所不同，因此企業需要根據自己的需求進行特權賬戶安全防御的技術手段部署。企業需要和專門的特權賬戶安全防護服務商合作，在企業特性應用需求以及實際網絡環境的基礎上，打造適合企業的特權賬號管理方案。

 特權賬戶監控的最佳實踐

01、實現全面的特權用戶監控

用戶活動監視是資源密集型的。由于要監視的用戶越多，所耗費的資源就越多，因此許多組織都選擇部分監控，只關注特定類型的數據、系統、事件和活動。但對特權賬戶管理來說，必須密切關注所有特權用戶的每一個行動。可以選擇一種以輕格式記錄數據的解決方案，包括截圖或視頻記錄。

02、拒絕“影子”管理員

特權用戶通常能夠將自己擁有的某些特權分配給其他用戶。但是，以這種方式分配特權并不總能得到適當的監視和管理。具有與管理員相同訪問權限但不包含在監控管理組中的帳戶（例如域管理員）通常稱為“影子”管理員。因此，確保對所有特權帳戶的完全可見性對于確保組織的網絡安全至關重要。重要的是，不僅要注意特權帳戶的活動，還要注意它們的創建和刪除，要避免其創建新的“影子”管理員。

03、密切關注特權賬戶的共享

一些企業會共享特權帳戶來簡化他們的管理工作流程，從而無意中將網絡安全風險引入。盡管共享特權賬戶很方便，但卻阻礙了用戶活動監控和審計的過程，因為如果不使用特定的工具，就很難區分用戶的行為。可以利用輔助用戶身份驗證措施，清楚地區分共享帳戶的所有用戶，同時有效地審計和監控他們的活動。

04、注意未經批準的遠程登錄

企業中遠程工作的員工越多，相關的安全問題也會越多。如果特權用戶可以遠程訪問企業網絡中的敏感信息，請考慮通過遠程桌面監控軟件來監控他們的訪問行為。另外，企業需要設置嚴格的規則，指定允許遠程登錄哪些系統和數據，并創建應用白名單。

05、禁止修改日志和記錄

根據權限級別的不同，某些特權用戶可能能夠修改或刪除各種日志和記錄。企業可以通過僅向特定角色或嚴格限制的用戶組賦予權限，來解決這個問題。但是在選擇特權用戶行為監控解決方案時，要選擇默認情況下禁止修改日志或報告的解決方案，只有這樣才能保證日志記錄不會被篡改。

06、注意特權用戶的異常情況

“披著羊皮的狼”也難掩狼的本性！合法特權用戶的行為與惡意人員的使用行為有很大不同。用戶和實體行為分析（UEBA）是一項用于檢測網絡用戶異常行為的技術。它為系統中的每個用戶或實體構建一個基線行為概要。然后，基于這些概要文件分析用戶和實體活動，并將正常活動與異常（潛在可疑）活動進行區分。

07、定期進行網絡安全培訓

組織安全意識培訓對于有效監控特權用戶非常重要。沒有適當的網絡安全知識的用戶可能不理解監控它們的必要性，甚至可能試圖欺騙或破壞所實施的安全工具和策略。提高員工的網絡安全意識可以減少特權用戶的犯錯次數，使他們更加注意賦予他們的特權，并增加他們遵守公司建立的網絡安全程序的意愿。此外，當知道如何識別網絡安全威脅時，員工也更有可能注意到可疑活動并上報。

08、不間斷地監控 

最后，特權用戶監控（PUM）不應被視為一次性、階段性的工作。如果僅定期執行用戶活動監控，則無法確保用戶操作的完全可見性或正確保護關鍵數據。PUM是一個持續的過程，需要不斷改進。確保不斷改進特權用戶監視和管理過程，并使用PUM最佳實踐和尖端技術解決方案增強它們。