“臉書”發生用戶數據泄露事件,近5000萬用戶數據受威脅。
漢庭、全季1.3億人開房數據泄露!
Uber隱瞞大規模數據泄露,還給***10萬“封口費”。
雅虎30億賬號或已全部泄露,證監機構參與調查。
CSDN六百萬用戶賬戶信息泄露。
Google+五千多萬用戶數據泄露,被迫提前關閉接口。
……
近年來數據泄露事件越來越多,令人觸目心驚。在大數據時代,各類設備的互聯互通及各種網絡的相互連接,在實現數據資料共享和信息挖掘的同時,大量數據信息遭受截取或被侵入獲取,造成數據泄露。由於敏感及重要信息管理不當,被不法分子利用獲得也是近年來數據泄密的重要原因。
在網絡安全機制還沒有達到完全制服惡意盜取數據事件之前,我們的需要啓用特權賬戶來保障您的數據安全,使用特權賬戶策略如下:
1)使用自動發現機制跟蹤和合並每個特權帳戶
保護和管理組織的特權帳戶的第一步是發現公司網絡上的所有關鍵資產,以及關聯的帳戶和憑據。 隨着您的組織的發展和擴展其基礎架構,您應確保您的IT團隊配備強大的發現機制,以解決特權帳戶的激增並跟蹤它們。 運行定期掃描網絡,檢測新帳戶並將其添加到中央數據庫的完全自動化程序是爲PAM策略構建堅實基礎的最佳方式。
2)將特權帳戶存儲在安全的集中式保管庫中
取消通常由各個團隊維護的本地化,孤立的數據庫。 更重要的是,確保員工停止在便籤上寫下密碼或將密碼存儲在純文本文件中。 這些做法很危險,導致過時密碼和協調問題的實例增多,導致運營效率低下。 相反,屬於所有部門的特權帳戶和憑據應編入一個集中式存儲庫。 此外,使用衆所周知的加密算法(如AES-256)保護您存儲的特權帳戶,以防止不必要的訪問。
3)通過有限的訪問權限建立更清晰的角色
一旦您的組織的特權帳戶安全地鎖定在保險庫中,就應該決定誰應該擁有密鑰。 正如ACSC所說,“根據用戶職責限制操作系統和應用程序的管理權限。” 您可以通過爲IT團隊成員繪製明確的角色並確保特權帳戶不用於例如閱讀電子郵件或Web瀏覽等常規來實現此目的; 每個成員的角色只給予他們最低限度的訪問權限。
4)爲員工和第三方實施多因素身份驗證
根據賽門鐵克2016年互聯網安全威脅報告,使用多因素身份驗證可以防止80%的違規行爲。 爲PAM管理員和最終用戶實施雙因素或多因素身份驗證將保證只有合適的人才能訪問敏感資源。
5)停止以明文共享特權帳戶憑據
除了消除與鬆散角色劃分相關的安全漏洞之外,實施安全共享實踐也很重要。 爲了獲得最終保護,您組織的PAM管理員應該能夠爲員工或承包商提供對IT資產的訪問權限,而無需以明文形式披露憑據。 相反,應允許用戶從PAM工具的界面啓動一鍵連接到目標設備,而無需查看或手動輸入憑據。
6)對自動密碼重置實施嚴格的策略
方便,因爲IT團隊可能會爲網絡上的每個特權帳戶使用相同的密碼,這是一種不健康的做法,最終會助長一個根本不安全的環境。 特權帳戶的安全管理需要使用定期重置的強大,唯一的密碼。 您應該使自動密碼重置成爲PAM策略的一個組成部分,以消除未更改的密碼並保護敏感資源免受未經授權的訪問。
7)添加用於密碼檢索的版本控制
建立一個策略,強制用戶在需要特定帳戶憑據訪問遠程資產時向組織的PAM管理員發送請求。 爲了進一步加強控制,只爲用戶提供對這些憑據的臨時,基於時間的訪問,並使用內置選項撤銷訪問權限,並在規定的時間到期時強制簽入密碼。 爲了進一步提高安全性,您還可以在用戶簽入密碼後自動重置密碼。
8)停止在腳本文件中嵌入憑據
許多應用程序需要頻繁訪問數據庫和其他應用程序以查詢與業務相關的信息。 組織通常通過在配置文件和腳本中嵌入clesar文本來自動化此通信過程,但管理員很難識別,更改和管理這些嵌入式密碼。 因此,憑證保持不變,不會妨礙業務生產力。 硬編碼憑證可以使技術人員的工作更輕鬆,但對於希望進入組織網絡的***來說,它們也是一個簡單的啓動點。 或者,您的IT團隊可以使用安全API,以允許應用程序在需要檢索其他應用程序或遠程資產的特權帳戶時直接查詢PAM工具。
9)審覈一切廣告
歸根結底,全面的審計記錄,實時警報和通知確實讓生活更輕鬆。 捕獲每個用戶操作,併爲所有與PAM相關的操作建立問責制和透明度。 與內部事件記錄工具集成還可以通過將PAM活動與來自組織其他成員的其他事件進行整合,並提供有關異常活動的智能提示。 這對於獲取安全事件的全面概述以及檢測漏洞或內部漏洞非常有用。
執行這九項政策並不是安全的最終解決方案 - 還需要更多全面的防護措施來保護數據安全。 根據Verizon的2018年數據泄露調查報告,在2017年確認的2,216個數據泄露中,有201個是由於特權濫用造成的。 像這樣的統計數據應該強調不僅要保護特權帳戶,還要記錄和監控特權會話以保持警惕並檢測異常訪問的重要性。
卓豪ManageEngine Password Manager Pro是一個面向企業的密碼安全管理軟件,用於全面管理服務器、網絡設備、數據庫以及各種應用程序的密碼,以及各種系統賬號、文檔、數字證書等。幫助集中存儲密碼信息、安全共享密碼、實施標準的密碼策略、跟蹤密碼訪問歷史、控制用戶非法使用,實現企業密碼的安全管理和使用。與網絡犯罪分子的戰爭是無止境的,卓豪ManageEngine Password Manager Pro將會是您手中最有力的防護武器!