重拳阻击网络犯罪—特权账户保护您的数据王国

“脸书”发生用户数据泄露事件，近5000万用户数据受威胁。
汉庭、全季1.3亿人开房数据泄露！
Uber隐瞒大规模数据泄露，还给***10万“封口费”。
雅虎30亿账号或已全部泄露，证监机构参与调查。
优快云六百万用户账户信息泄露。
Google+五千多万用户数据泄露，被迫提前关闭接口。
……
近年来数据泄露事件越来越多，令人触目心惊。在大数据时代，各类设备的互联互通及各种网络的相互连接，在实现数据资料共享和信息挖掘的同时，大量数据信息遭受截取或被侵入获取，造成数据泄露。由于敏感及重要信息管理不当，被不法分子利用获得也是近年来数据泄密的重要原因。
在网络安全机制还没有达到完全制服恶意盗取数据事件之前，我们的需要启用特权账户来保障您的数据安全，使用特权账户策略如下：

1）使用自动发现机制跟踪和合并每个特权帐户
保护和管理组织的特权帐户的第一步是发现公司网络上的所有关键资产，以及关联的帐户和凭据。 随着您的组织的发展和扩展其基础架构，您应确保您的IT团队配备强大的发现机制，以解决特权帐户的激增并跟踪它们。 运行定期扫描网络，检测新帐户并将其添加到中央数据库的完全自动化程序是为PAM策略构建坚实基础的最佳方式。

2）将特权帐户存储在安全的集中式保管库中
取消通常由各个团队维护的本地化，孤立的数据库。 更重要的是，确保员工停止在便签上写下密码或将密码存储在纯文本文件中。 这些做法很危险，导致过时密码和协调问题的实例增多，导致运营效率低下。 相反，属于所有部门的特权帐户和凭据应编入一个集中式存储库。 此外，使用众所周知的加密算法（如AES-256）保护您存储的特权帐户，以防止不必要的访问。
3）通过有限的访问权限建立更清晰的角色

一旦您的组织的特权帐户安全地锁定在保险库中，就应该决定谁应该拥有密钥。 正如ACSC所说，“根据用户职责限制操作系统和应用程序的管理权限。” 您可以通过为IT团队成员绘制明确的角色并确保特权帐户不用于例如阅读电子邮件或Web浏览等常规来实现此目的; 每个成员的角色只给予他们最低限度的访问权限。

4）为员工和第三方实施多因素身份验证

根据赛门铁克2016年互联网安全威胁报告，使用多因素身份验证可以防止80％的违规行为。 为PAM管理员和最终用户实施双因素或多因素身份验证将保证只有合适的人才能访问敏感资源。
5）停止以明文共享特权帐户凭据

除了消除与松散角色划分相关的安全漏洞之外，实施安全共享实践也很重要。 为了获得最终保护，您组织的PAM管理员应该能够为员工或承包商提供对IT资产的访问权限，而无需以明文形式披露凭据。 相反，应允许用户从PAM工具的界面启动一键连接到目标设备，而无需查看或手动输入凭据。
6）对自动密码重置实施严格的策略

方便，因为IT团队可能会为网络上的每个特权帐户使用相同的密码，这是一种不健康的做法，最终会助长一个根本不安全的环境。 特权帐户的安全管理需要使用定期重置的强大，唯一的密码。 您应该使自动密码重置成为PAM策略的一个组成部分，以消除未更改的密码并保护敏感资源免受未经授权的访问。

7）添加用于密码检索的版本控制

建立一个策略，强制用户在需要特定帐户凭据访问远程资产时向组织的PAM管理员发送请求。 为了进一步加强控制，只为用户提供对这些凭据的临时，基于时间的访问，并使用内置选项撤销访问权限，并在规定的时间到期时强制签入密码。 为了进一步提高安全性，您还可以在用户签入密码后自动重置密码。

8）停止在脚本文件中嵌入凭据

许多应用程序需要频繁访问数据库和其他应用程序以查询与业务相关的信息。 组织通常通过在配置文件和脚本中嵌入clesar文本来自动化此通信过程，但管理员很难识别，更改和管理这些嵌入式密码。 因此，凭证保持不变，不会妨碍业务生产力。 硬编码凭证可以使技术人员的工作更轻松，但对于希望进入组织网络的***来说，它们也是一个简单的启动点。 或者，您的IT团队可以使用安全API，以允许应用程序在需要检索其他应用程序或远程资产的特权帐户时直接查询PAM工具。
9）审核一切广告
归根结底，全面的审计记录，实时警报和通知确实让生活更轻松。 捕获每个用户操作，并为所有与PAM相关的操作建立问责制和透明度。 与内部事件记录工具集成还可以通过将PAM活动与来自组织其他成员的其他事件进行整合，并提供有关异常活动的智能提示。 这对于获取安全事件的全面概述以及检测漏洞或内部漏洞非常有用。
执行这九项政策并不是安全的最终解决方案 - 还需要更多全面的防护措施来保护数据安全。 根据Verizon的2018年数据泄露调查报告，在2017年确认的2,216个数据泄露中，有201个是由于特权滥用造成的。 像这样的统计数据应该强调不仅要保护特权帐户，还要记录和监控特权会话以保持警惕并检测异常访问的重要性。

卓豪ManageEngine Password Manager Pro是一个面向企业的密码安全管理软件，用于全面管理服务器、网络设备、数据库以及各种应用程序的密码，以及各种系统账号、文档、数字证书等。帮助集中存储密码信息、安全共享密码、实施标准的密码策略、跟踪密码访问历史、控制用户非法使用，实现企业密码的安全管理和使用。与网络犯罪分子的战争是无止境的，卓豪ManageEngine Password Manager Pro将会是您手中最有力的防护武器！

转载于:https://blog.51cto.com/14093217/2330010