“特權(quán)”的概念對于保護計算機和網(wǎng)絡(luò)而言是不可或缺的，主要存在與維護網(wǎng)絡(luò)和系統(tǒng)的管理員帳戶中，具有對數(shù)據(jù)和信息系統(tǒng)的完全可見性和控制權(quán)。攻擊者自然也十分清楚這一點。據(jù)最新的調(diào)查數(shù)據(jù)顯示，在最近一年所有發(fā)生的嚴重網(wǎng)絡(luò)攻擊事件中，超過80%的攻擊者利用了特權(quán)賬戶。

特權(quán)賬戶應(yīng)用的常見錯誤

研究人員發(fā)現(xiàn)，在實際應(yīng)用中，很多特權(quán)賬戶的使用者并不知道或不理解遵守網(wǎng)絡(luò)安全制度的重要性，往往為了簡化或加快日常工作流程，而忽視了安全后果。很多企業(yè)在特權(quán)賬戶的應(yīng)用和管理中，存在以下常見的錯誤：

1.對特權(quán)賬戶保護不夠重視

保護特權(quán)賬戶并不完全是指對數(shù)據(jù)的分類保護、對賬戶的登錄認證這些方面。事實上，由于企業(yè)的IT環(huán)境在不斷變化，特權(quán)賬戶的歸屬本身也在不斷變化。當發(fā)生人事調(diào)動，以及使用了不同的系統(tǒng)時，特權(quán)賬戶的使用情況會發(fā)生變化，一旦不進行妥善處理，就會留下內(nèi)部人員賬戶權(quán)限過大以及僵尸特權(quán)賬號的問題，從而留下內(nèi)部以及外部的安全隱患。

此外，密碼是保護特權(quán)賬戶不被非法使用的關(guān)鍵，有很多安全管理密碼的建議，比如使用復(fù)雜的密碼和定期更新密碼，但很少有人愿意去做。

2.未使用MFA驗證機制

多因素身份驗證（MFA）是目前企業(yè)網(wǎng)絡(luò)安全防護策略中的黃金標準。這項技術(shù)通過在身份驗證過程中添加更多的驗證層，可以更好地保護敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問。但是，一些特權(quán)用戶為了操作方便，會違規(guī)禁用額外的身份驗證措施，因為他們可能覺得等待驗證密碼是浪費時間。如果沒有MFA，企業(yè)的敏感數(shù)據(jù)將失去一層關(guān)鍵性的保護。因此，組織需要嚴格要求對所有用戶實施多種措施結(jié)合的身份驗證策略。

3.特權(quán)賬號的違規(guī)共享

特權(quán)賬號應(yīng)該只授予那些需要它們的人，并且獲得網(wǎng)絡(luò)安全管理者批準后，特權(quán)才能存在。但在現(xiàn)實工作中，特權(quán)賬戶憑據(jù)卻常常被運維人員違規(guī)共享和濫用。另一種常見的情況是，一個團隊共享一個特權(quán)帳戶來管理相關(guān)應(yīng)用程序、網(wǎng)站或云存儲服務(wù)，因為創(chuàng)建多個特權(quán)帳戶將需要經(jīng)歷多次審批流程。在對特權(quán)賬戶進行管理時，可見性是必不可少的。如果有兩個或更多的人使用同一個特權(quán)帳戶，將無法分辨到底誰做了什么。因此，一旦發(fā)生了安全事件，也無法判斷該由誰來負責(zé)。

4.過度使用特權(quán)賬號

當特權(quán)帳戶的使用頻率超過工作所需時，就會增加組織的脆弱性。正確的做法是將特權(quán)帳戶與普通帳戶區(qū)分開來，并且嚴禁用特權(quán)帳戶執(zhí)行日常性工作任務(wù)。但是，即便企業(yè)將此實踐定為安全管理策略的明確要求，特權(quán)用戶也有往往會忽略或破壞它。在這種情況下，可以考慮部署密碼管理工具。這樣的工具會幫助企業(yè)限制特權(quán)帳戶的訪問時間，并強制用戶注銷具有更高特權(quán)的帳戶。

5.忽視網(wǎng)絡(luò)安全政策

無論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則，都可能會有人不遵守這些規(guī)則。特別在一些中小型企業(yè)中，很多員工會認為：我們的IT系統(tǒng)沒那么復(fù)雜，我們的企業(yè)沒有被攻擊的價值，因此不需要那么多的安全防護。然而，今天的網(wǎng)絡(luò)攻擊是無孔不入的，雖然看上去獲益不大，但是因為中小企業(yè)缺乏足夠的安全防護，因此攻擊更容易達成。因此，企業(yè)應(yīng)該重視并加強網(wǎng)絡(luò)安全意識培訓(xùn)，使特權(quán)用戶養(yǎng)成遵守組織安全政策的工作習(xí)慣。

加強特權(quán)賬戶管理的建議

保護特權(quán)賬號安全對于防范網(wǎng)絡(luò)攻擊至關(guān)重要。安全研究人員給企業(yè)的特權(quán)賬戶管理提出了以下幾個建議：

1. 充分了解所有的特權(quán)賬戶：企業(yè)對特權(quán)賬戶管理的第一步就是要知道組織究竟有多少特權(quán)賬戶。研究數(shù)據(jù)顯示，一個企業(yè)中的特權(quán)賬戶數(shù)量往往是普通賬戶數(shù)量的3-4倍。顯然，要充分掌握有哪些特權(quán)賬戶是一件非常復(fù)雜的工作。
2. 監(jiān)控特權(quán)賬戶的變化：企業(yè)的人員在不斷變化，企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個特權(quán)賬戶是否依然有必要保留之前的權(quán)限。同時，針對賬戶的權(quán)限變化進行監(jiān)控，也能防止異常的特權(quán)賬戶使用行為。
3. 限制特權(quán)賬戶的權(quán)限：安全需要遵守的原則之一是“最小權(quán)限原則”。因此，特權(quán)賬戶并不可以被無限制地賦予不需要的管理權(quán)限，從特權(quán)賬戶建立開始，就需要對其進行合理的權(quán)限使用限制。
4. 定期整理所有的賬戶資產(chǎn)：企業(yè)需要定期對自己的所有賬戶資產(chǎn)進行系統(tǒng)整理。特權(quán)賬戶并不局限于人的賬號，一些應(yīng)用系統(tǒng)本身也是帶有特權(quán)的實體，其在企業(yè)的生產(chǎn)和運營過程中也會不斷改變和增加，企業(yè)需要定期整理自己的所有信息資產(chǎn)，并且對和資產(chǎn)相關(guān)的所有權(quán)限進行整理與管理。
5. 部署完善的防御技術(shù)方案：每家企業(yè)的IT環(huán)境都有所不同，因此企業(yè)需要根據(jù)自己的需求進行特權(quán)賬戶安全防御的技術(shù)手段部署。企業(yè)需要和專門的特權(quán)賬戶安全防護服務(wù)商合作，在企業(yè)特性應(yīng)用需求以及實際網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，打造適合企業(yè)的特權(quán)賬號管理方案。

特權(quán)賬戶監(jiān)控的最佳實踐

1.實現(xiàn)全面的特權(quán)用戶監(jiān)控

用戶活動監(jiān)視是資源密集型的。由于要監(jiān)視的用戶越多，所耗費的資源就越多，因此許多組織都選擇部分監(jiān)控，只關(guān)注特定類型的數(shù)據(jù)、系統(tǒng)、事件和活動。但對特權(quán)賬戶管理來說，必須密切關(guān)注所有特權(quán)用戶的每一個行動。可以選擇一種以輕格式記錄數(shù)據(jù)的解決方案，包括截圖或視頻記錄。

2.拒絕“影子”管理員

特權(quán)用戶通常能夠?qū)⒆约簱碛械哪承┨貦?quán)分配給其他用戶。但是，以這種方式分配特權(quán)并不總能得到適當?shù)谋O(jiān)視和管理。具有與管理員相同訪問權(quán)限但不包含在監(jiān)控管理組中的帳戶（例如域管理員）通常稱為“影子”管理員。因此，確保對所有特權(quán)帳戶的完全可見性對于確保組織的網(wǎng)絡(luò)安全至關(guān)重要。重要的是，不僅要注意特權(quán)帳戶的活動，還要注意它們的創(chuàng)建和刪除，要避免其創(chuàng)建新的“影子”管理員。

3.密切關(guān)注特權(quán)賬戶的共享

一些企業(yè)會共享特權(quán)帳戶來簡化他們的管理工作流程，從而無意中將網(wǎng)絡(luò)安全風(fēng)險引入。盡管共享特權(quán)賬戶很方便，但卻阻礙了用戶活動監(jiān)控和審計的過程，因為如果不使用特定的工具，就很難區(qū)分用戶的行為?？梢岳幂o助用戶身份驗證措施，清楚地區(qū)分共享帳戶的所有用戶，同時有效地審計和監(jiān)控他們的活動。

4.注意未經(jīng)批準的遠程登錄

企業(yè)中遠程工作的員工越多，相關(guān)的安全問題也會越多。如果特權(quán)用戶可以遠程訪問企業(yè)網(wǎng)絡(luò)中的敏感信息，請考慮通過遠程桌面監(jiān)控軟件來監(jiān)控他們的訪問行為。另外，企業(yè)需要設(shè)置嚴格的規(guī)則，指定允許遠程登錄哪些系統(tǒng)和數(shù)據(jù)，并創(chuàng)建應(yīng)用白名單。

5.禁止修改日志和記錄

根據(jù)權(quán)限級別的不同，某些特權(quán)用戶可能能夠修改或刪除各種日志和記錄。企業(yè)可以通過僅向特定角色或嚴格限制的用戶組賦予權(quán)限，來解決這個問題。但是在選擇特權(quán)用戶行為監(jiān)控解決方案時，要選擇默認情況下禁止修改日志或報告的解決方案，只有這樣才能保證日志記錄不會被篡改。

6.注意特權(quán)用戶的異常情況

“披著羊皮的狼”也難掩狼的本性！合法特權(quán)用戶的行為與惡意人員的使用行為有很大不同。用戶和實體行為分析（UEBA）是一項用于檢測網(wǎng)絡(luò)用戶異常行為的技術(shù)。它為系統(tǒng)中的每個用戶或?qū)嶓w構(gòu)建一個基線行為概要。然后，基于這些概要文件分析用戶和實體活動，并將正?；顒优c異常（潛在可疑）活動進行區(qū)分。

7.定期進行網(wǎng)絡(luò)安全培訓(xùn)

組織安全意識培訓(xùn)對于有效監(jiān)控特權(quán)用戶非常重要。沒有適當?shù)木W(wǎng)絡(luò)安全知識的用戶可能不理解監(jiān)控它們的必要性，甚至可能試圖欺騙或破壞所實施的安全工具和策略。提高員工的網(wǎng)絡(luò)安全意識可以減少特權(quán)用戶的犯錯次數(shù)，使他們更加注意賦予他們的特權(quán)，并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外，當知道如何識別網(wǎng)絡(luò)安全威脅時，員工也更有可能注意到可疑活動并上報。

8.不間斷地監(jiān)控 

最后，特權(quán)用戶監(jiān)控（PUM）不應(yīng)被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶活動監(jiān)控，則無法確保用戶操作的完全可見性或正確保護關(guān)鍵數(shù)據(jù)。PUM是一個持續(xù)的過程，需要不斷改進。確保不斷改進特權(quán)用戶監(jiān)視和管理過程，并使用PUM最佳實踐和尖端技術(shù)解決方案增強它們。

參考鏈接：

??https://www.ekransystem.com/en/blog/inadvertent-privileged-user-mistakes??

??https://www.ekransystem.com/en/blog/privileged-user-monitoring-best-practices??