如何检测特权帐户滥用

这篇文章是我们讨论特权滥用威胁的系列文章的继续。之前，我们讨论了您应该了解的有关特权用户威胁的知识，以及您现在可以采取的三项关键措施来开始获得对特权用户所需的控制。在这篇文章中，我们将讨论为什么有效检测特权滥用对于减轻损害至关重要，特权帐户滥用的一些典型场景是什么样的，您这边的哪些错误可能导致检测滥用失败以及如何避免那些错误。

要避免的典型陷阱

尽管组织非常重视安全性，但他们经常会犯一些错误，从而破坏他们控制特权帐户和保护关键系统和数据的努力。以下是两个最常见的陷阱：

陷阱#1。对内部人员的盲目信任。组织充满了对黑客的恐惧，但往往忘记了内部人员。并非每个内部人士都是恶意的，但任何人都可能犯错误。此外，任何用户帐户都可能受到攻击者的危害，将其变成内部人员。拥有最多权限的帐户代表着最大的风险。因此，了解特权用户正在做什么并能够发现他们行为中的任何异常情况非常重要。

• 如何避免陷阱：确保自动跟踪用户（包括特权用户）的活动，并获得有关违反安全策略和偏离正常行为模式的警报。确保您可以调查 IT 基础设施中任何用户的活动，尤其是可疑的操作。彻底的用户活动监控还可以帮助您发现安全状况中的漏洞和安全策略中的弱点。

陷阱#2。 无法对权限的配置和取消配置建立适当的控制。 随着员工的来来去去，或者他们在组织中的角色发生变化，他们的访问需求也会发生变化。不幸的是，员工通常会保留他们曾经拥有的所有权限，或者即使在离开组织后他们仍然可以访问他们的帐户。承包商和其他第三方也是如此：他们通常拥有比完成工作所需更多的特权，并且这些权限在合同结束后不会被撤销。

• • 如何避免陷阱：首先获取用户帐户的完整清单并确定哪些帐户是特权帐户。然后检查是否有用户拥有过多的权限（遵循最小权限原则），以及是否有数据过度暴露。当用户的角色发生变化时，相应地修改他们的权限。此外，建立请求、授权、进行和记录变更的程序，以及要求验证所有关键变更的政策。最后但同样重要的一点是，快速禁用不再需要的帐户。

为什么要注重检测而不是预防？

只要存在特权帐户，它们就有可能被帐户所有者本身或有兴趣利用特权访问权的其他人滥用。

您可以并且应该实施一些关键策略来使攻击者难以进入，例如特权帐户管理。但预防措施仅在攻击者破坏特权帐户之前有效。如果攻击者拥有对特权帐户的合法访问权限，它们就根本不起作用。

参与者通过系统身份验证后会发生什么完全取决于您检测到出现问题的速度

还要记住，危害有效特权帐户的不仅仅是外部攻击者。还有臭名昭著的人为因素，包括用户在众目睽睽之下留下密码、帮助同事访问关键系统，以及其他疏忽和违反安全策略的例子。综合考虑所有这些因素，您就会明白为什么特权帐户滥用实际上是不可能预防的。

参与者通过系统身份验证后会发生什么，完全取决于您检测到出现问题的速度。

特权帐户滥用的主要迹象

每个用户每天的行为都是相似的：他们通常在一天中的某些时间访问相同的系统和相同的信息，并且他们养成了以某种方式做事的习惯。如果您可以记录此基线并发现异常行为，那么您在检测威胁方面就具有巨大优势。

您应该寻找两个主要内容：特权帐户活动与基线的任何偏差以及关键资产活动的任何异常峰值。

可疑活动列表可能因组织而异，但以下是一些可能是特权帐户滥用迹象的典型场景：

• 用户访问、读取、更改或复制与其工作例程无关的文件。
• 当策略允许仅从专用系统使用文件时，用户将文件复制到个人工作站。
• 用户在正常工作时间之外访问关键系统或数据。
• 用户尝试访问与其工作无关的系统。
• 一个用户帐号同时从多个端点登录，或者不同用户同时从同一端点登录。
• 对敏感数据进行了大量的操纵。
• 旧帐户再次活跃。

攻击者总是想方设法将其恶意行为伪装成绝对例行公事

重要的是要记住，虽然某些行为本质上是可疑的，但攻击者总是在寻找方法将其恶意行为伪装成绝对常规和正常的行为。例如，用户（或使用受损帐户的攻击者）可以创建一个帐户并将其添加到高权限组，但稍后再使用该帐户谋取个人利益。因此，每个组织都需要安全策略，要求对所有关键更改进行授权和审查。

需要寻找的关键能力

有许多方法和解决方案旨在帮助您检测用户行为异常，包括用户和实体行为分析 (UEBA) 软件。你怎么知道哪些是好的？寻找能够帮助您完成三件事的检测功能：

1. 在影响安全或业务连续性之前快速检测攻击或违规行为
2. 用最少的人员快速有效地调查警报
3. 评估每个用户的总体风险评分，以便您可以发现在较长时间内出现的威胁并确定响应的优先级

您检测、调查和阻止特权帐户滥用的速度越快，防止损害和避免处罚的机会就越大。您可以做的一些最明智的事情是从他人的错误中吸取教训，并随着您的用户群、业务需求和 IT 基础设施的变化而不断更新您的安全策略。

您是否曾检测到特权帐户滥用？还有哪些错误应该避免？ IT专业人员在监控特权帐户时需要更加注意什么？请在下面的评论框中分享您的经验。