<style type="text/css"> .wpb_animate_when_almost_visible { opacity: 1; }</style>

核心数据分类及特权账户管理

核心数据分类及特权账户管理

对于核心数据的保护,首先需要对核心数据资产进行梳理,分类分级进行治理,建立特权账户管理平台,
身份及访问管理(IAM)的核心就是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到“超级用户”账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
PAM是减小数据泄露风险和最小化数据泄露影响的顶级操作。PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
不幸的是,太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是:
  • 18%的受访者承认使用纸质日志来管理特权凭证
  • 36%用电子表格进行管理
  • 67%依赖2种或2种以上的工具(包括纸质和电子表格)来支持他们的PAM项目
尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些“超级用户”权限所执行活动的,却相对较少:
  • 57%的受访者承认仅监视了部分或根本没有监视其特权账户;
  • 21%承认自身并没有监视特权账户行为的能力;
  • 31%报告称发现不了以管理凭证执行活动的个人,换句话说,近1/3的人实现不了强制性的个人责任,而这对防护和风险缓解又是如此重要。
如果这些数据还不够吓人,还有数据表明太多组织(商业、政府和全球各类组织),甚至连最基本的常识性操作都没能做到:
  • 88%的人承认在管理特权口令上有困难;
  • 86%的人在管理员口令用过后都不修改——为前文提及的提权和横向移动行为大开方便之门;
  • 40%直接留用系统、服务器和基础设施的默认管理员口令,彻底消除了坏人费劲获取权限的必要。
很多简单的常识性操作,比如管理员口令每次用过后都做修改、不留下默认口令等,就可以解决很多问题。不过,对技术和实践进行升级,以清除人为错误或因密码管理实践繁琐而产生的懈怠,也可以添加一层保障和个人责任。还有更为重要的一点就是脚本文件和程序源代码中留存的明文数据库密码等也会给组织带来巨大的数据泄露风险。
因此,可以完成移除IT系统的明文密码,平台自动化定期或按需改密,操作审计,最小权限化功能的PAM特权账户管理平台就成为了核心数据保护的零步骤。

 

 

CyberArk特权账户管理平台+RSA双因素认证系统是此方案的首选产品。
 
 
 
 
 
 
Date

2019年 03月 05日

Custom Field

Enter some text here

上一篇:没有了
下一篇: 核心数据安全