特权滥用解释

在与 IT 专业人员交谈时，我听到了很多有关安全问题的信息，其中有一个故事非常常见。细节各不相同，但核心是相同的威胁：特权帐户滥用或误用。在这篇文章中，我将解释什么是特权滥用、真正的公司通过密切关注特权帐户所实现的好处，以及您现在可以做的三件关键事情，以开始获得对特权用户所需的控制。

什么是特权滥用？真的值得担心吗？

当与特定用户帐户相关的特权被不当或欺诈性地使用（无论是恶意、意外还是故意忽视策略）时，就会发生特权帐户滥用。根据 Verizon 的 2017 年数据泄露调查报告，滥用特权帐户现在是安全事件的第二大常见原因和泄露的第三大常见原因。

根据 2017 年 DBIR，权限滥用是违规和事件的主要原因之一。

特权滥用是如何发生的

在典型情况下，权限滥用是访问控制不善的直接结果：用户拥有的访问权限超出了他们完成工作所需的权限，并且组织无法正确监控特权帐户的活动并建立适当的控制。

访问控制问题通常源于 IT 管理和安全团队之间缺乏协调

这些访问控制问题通常源于 IT 管理和安全团队之间缺乏协调。 IT 负责用户帐户，但其主要目标是管理。与此同时，安全团队负责监控特权帐户，以保护公司免受内部和外部威胁，并确保遵守监管要求。

滥用特权的后果

特权帐户是通往关键系统和数据的门户。滥用这些强大的帐户可能会导致敏感数据和商业智能的丢失，以及对业务运营至关重要的系统和应用程序的停机。除了对业务造成直接损害外，这些问题还可能导致负面宣传、客户流失和持续数年的诉讼，以及合规失败及其相关处罚，其中可能包括高额罚款和高层管理人员的监禁。

适当特权帐户管理价值的真实示例

适当的特权帐户管理是最大限度降低特权滥用风险的关键。以下是一些真实案例，说明了特权帐户安全在不同行业以及大大小小的 IT 部门中的好处：

1.防止任何不需要的活动。政府机构存储有关公民的各种个人身份信息 (PII)。为了确保这些敏感数据的安全并遵守监管要求，IT 团队仔细执行用户活动监控，并与其他 IT 人员一起审查所有可疑行为和其他异常情况，以确定该操作是否获得授权或需要进一步调查。

2.防止第三方违规。金融公司还处理大量敏感数据，这些数据必须安全存储，以遵守法规、维护客户信任和忠诚度并确保持续的业务运营。但监控员工活动还不够，因为供应商还访问内部系统来执行维护任务。通过自动视频记录所有供应商活动，IT 团队可以准确了解每个帐户的行为，因此他们可以快速发现任何可能危及敏感数据的权限滥用行为。

3.防止前雇员或临时工。教育机构的员工和学生流动率很高，但人力资源部门并不总是向 IT 部门报告这些重要变化。为了防止安全事件，IT 团队在其分布式 IT 基础设施中持续应用用户活动监控（包括文件操作），以便他们能够快速发现任何不需要的活动并做出适当的响应。一项调查发现，两名前雇员仍然可以访问自己的帐户，并通过删除课程文件来利用这一点。

4.保护经验不足的员工。另一家教育机构为学生提供在 IT 部门工作的机会，这需要赋予他们使用关键系统来执行特定任务的权利。但不得允许他们读取或删除包含敏感信息的文件，例如贷款的等级和财务数据。虽然相信学生会做出适当的 IT 更改，但系主任会跟踪他们的活动，以验证更改是否正确，并且没有人访问他们不应该访问的任何内容。

5.防止人为错误。一家能源公司使用 SQL 数据库来存储极其重要的数据，例如敏感的客户信息和用于计费的使用数据。由于这些数据对业务至关重要，因此 IT 部门特别注意监控其所有更改。其中一项例行检查发现了未经授权的更改。进一步调查发现，这是一名误获得DBA权限的员工所为。通过立即取消这些特权，该公司降低了数据丢失和运营停机的风险。

6.防止数据过度泄露。一家彩票公司存储有关玩家和零售商的敏感信息。员工需要对这些数据进行不同级别的访问，并且随着他们的角色发生变化（例如，由于晋升或内部调动），他们的访问权限必须相应更新。为了避免敏感数据的过度暴露并最大限度地降低权限滥用的风险，公司不断审查用户访问权限、访问尝试、文件操作以及 IT 环境中的其他活动。

7.发生安全漏洞时的自我保护。如果您是组织中唯一的 IT 人员怎么办？如果您遵守所有安全策略并勤勉地履行职责，那么您永远不会被指控滥用特权，对吧？嗯，不。可能在某些情况下，您需要证明您已尽力而为，并且违规行为不是您的错。适当的特权帐户管理将是您的救星。正如一位 IT 管理员所说：“我是我们公司唯一管理 IT 的人。我跟踪自己的活动不仅是出于合规原因，也是为了保护自己的隐私。如果发生任何事情，没有人可以指责我做错了什么。有证据。”

降低特权帐户滥用风险的三个步骤

是否有可能防止所有特权滥用？不会。一些内部人员会无意或恶意地滥用其特权，而您的特权帐户将始终成为想要利用其强大权限的外部攻击者的首要目标。但是，您可以最大限度地降低这些风险。以下是开始的三个关键步骤：

步骤1。持续评估并正确管理分配的权限

询问您的朋友是否曾经访问过他们不应该看到的信息。我相信你会发现他们中的很多人都有。发生这种情况是因为权限分配通常被视为一次性任务，但事实不应该如此。相反，您要定期确保：

• 根据最小权限原则审查访问权限并删除过多的权限。
• 每当用户在组织中的角色发生变化时，检查并更新权限。
• 通过验证是否严格根据特定需求授予对敏感数据的访问权限，确保您的敏感数据不会过度暴露。
• 请特别注意您的特权帐户 - 谁可以使用它们以及它们授予什么权限。

第2步。 深入了解您的 IT 环境

您是否知道访问关键文件或数据库的失败尝试次数是否可疑，或者是否对您的安全组进行了未经授权的修改？如果没有，这一步对您来说尤其重要。如果不彻底监控 IT 环境中的所有变化和用户活动，就不可能在早期阶段检测到威胁，包括特权滥用。

步骤＃3。 分析用户行为

收集数据是一回事。从中获得有意义的见解完全是另一回事。您能否判断您的用户何时在正常工作时间之外行使他们的特权？你知道他们现在的行为是否偏离常态？用户行为分析将向您显示仅查看事件日志时并不总是明显的异常情况。

* 额外小费

请特别注意由多个用户共享的特权帐户。这些帐户之所以保留下来，是因为它们很方便，但要注意与它们相关的两个最重要的安全问题：缺乏个人责任和缺乏适当的密码管理。尝试在促进管理和确保强大的安全性之间找到适当的平衡。

请使用评论部分分享您的特权帐户滥用故事以及如何降低风险的技巧！

想了解更多关于特权滥用问题吗？然后检查这四起因特权帐户滥用而导致的臭名昭著的数据泄露事件。