许多组织尚未投资 PAM 解决方案,因为它们可能成本
组织将对特定数据和管理功能的访问区分成不同类型的特权帐户,以便安全地进行运营。 有些类型的特权帐户包括域管理员帐户、本地管理员帐户、特权用户帐户和紧急帐户。 若管理不善或保护不当,网络犯罪分子可能会未经授权访问这些特权帐户,并窃取组织的敏感数据。
继续阅读,详细了解特权帐户、不同类型的特权帐户、特权帐户面临的挑战以及您的组织如何保护此类帐户。
什么是特权帐户?
特权帐户是指组织内拥有比标准帐户更高特权的帐户。 这些更高的特权允许某些用户访问组织的敏感系统、数据库、应用和网络基础架构。 特权帐户可以访问敏感数据,并为组织执行大多数用户无法执行的管理任务。 如果这些账户被未经授权的用户滥用或访问,则可能会损害组织,并导致资金损失、敏感数据丢失以及名誉受损。
7 类特权帐户
特权帐户有不同的类型,每种类型都有不同级别的访问和特权,以执行各自的功能。 以下是七类特权帐户。
域管理员帐户
域管理员帐户是组织网络内最重要的特权帐户。 他们可以完全不受限制地访问并控制活动目录域,即服务器、帐户、应用和工作站等组织资产的集合。 域管理员帐户可修改组织内每个管理员帐户的成员资格。 需要尽可能地限制这些帐户,并仅在需要时才提供。
本地管理员帐户
本地管理员帐户对本地机器授予管理员级别的访问权限。 IT 管理员使用本地管理员帐户设置工作站、服务器、网络设备及组织内其他本地机器并对其进行维护。 本地管理员帐户通常会在多台设备上使用相同的密码,网络犯罪分子利用这些密码获得对组织网络的初始访问权限,并横向移动。
特权用户帐户
特权用户帐户是标准用户帐户,已被授予一定的特权来完成工作。 这些帐户可访问普通用户无法访问的某些资源,如访问敏感数据或某些管理功能。 它们是最常见且风险最高的特权帐户类型。 如果管理不当,网络犯罪分子可能会入侵特权用户帐户,并在组织的网络内横向移动。
紧急帐户
紧急帐户也称为碎玻璃帐户,适用于组织无法访问其系统并需要立即访问的情况。 这些帐户是禁用的,只有在紧急情况下(如因网络攻击而无法访问)才会被激活。 组织将使用紧急帐户重新访问其系统并恢复系统。
服务帐户
应用或服务使用的服务帐户是为了确保操作系统的功能和程序正常运行。 本地系统不得登录此类非人类帐户。 然而,这些帐户的密码通常不会更改,并会与团队成员进行分享,导致此类密码成为网络犯罪分子攻击的重点攻击对象。
域服务帐户
域服务帐户允许徐彤和应用之间进行通信,并访问运行报告、访问数据库并调用 API 所需的资源。 它们协助更新安全补丁、保存备份并部署软件。 许多管理员不更改域服务帐户的密码,因为更改密码需要登出帐户,如果不正确同步,则会影响应用的使用。 由于缺乏安全性,网络犯罪分子可轻松破解这些帐户的密码。
应用程序帐户
应用程序帐户由应用程序用来访问数据库和网络,以自动执行任务,如更新软件并提供对其他应用程序的访问权限。 这些帐户的密码通常嵌入在未加密的文本文件中,很容易被网络犯罪分子用来访问组织的网络。
特权帐户面临的挑战
许多网络犯罪分子想要入侵特权帐户,以获得对组织网络的未经授权的访问。 以下是特权帐户面临的威胁类型。
网络钓鱼
网络钓鱼是一类网络攻击,诱骗特权用户提供登录凭证等敏感信息。 网络犯罪分子会冒充受害者熟悉的人,比如同事或管理员。 网络犯罪分子会向受害者发送一封含有恶意附件或链接的电子邮件或短信,供他们点击。 如果受害者点击该链接,他们会被带到一个欺骗性网站,该网站或者会在其设备上下载恶意软件,或者提示他们提供登录凭证。
内部威胁
内部威胁是指发生在组织内部的网络威胁。 当现任或前任同事、合作伙伴、承包商或供应商导致敏感数据或系统被入侵时,就会构成这一威胁。 这些内部威胁可能是有意的,也可能是无意的。 有些内部威胁是由人为错误引起的,其中特权帐户被疏忽的用户管理不当或滥用。 其他内部威胁是由恶意用户引起的,此类用户视图从内部破坏组织,并窃取敏感信息为自己谋利。
恶意软件
恶意软件是指网络犯罪分子秘密安装在用户设备上的软件,以损坏设备或窃取其中的敏感数据。 网络犯罪分子会利用组织的安全漏洞或诱骗用户不小心安装恶意软件,进而在用户的设备上传播恶意软件。 他们诱骗用户访问受感染的网站或从网络钓鱼电子邮件、恶意广告或欺骗性网站上下载恶意软件。 恶意软件安装在特权用户的设备上后,就会窃取特权帐户的登录凭证。
暴力攻击
暴力攻击是网络犯罪分子利用试错来猜测特权帐户的登录凭证的一种密码相关网络攻击。 网络犯罪分子依赖组织不良的密码使用习惯,轻松破解其密码。 受弱密码保护的特权帐户易受暴力攻击影响。
弱密码示例包括:
- 密码少于 16 个字符
- 在多个帐户中重复使用的密码
- 包含个人信息的密码
- 顺序数字或字母(12345 或 abcde)
- 常用的字典单词 (password)
- 重复的字母或数字(55555 或 aaaaa)
如何保护特权帐户
特权帐户可访问组织的敏感数据。 组织需要保护特权帐户免受网络犯罪分子攻击,进而保护其敏感数据。 以下是组织保护特权帐户的方式。
实行最小权限访问原则
为保护特权帐户,组织需要实施最小权限访问原则。 最小权限访问原则是一个网络安全概念,在实践过程中,用户应该只给予他们完成工作所需的信息和系统足够的网络访问权限,而不是更多的信息和权限。 最小权限访问原则限制可访问特权帐户的人数,并限制这些帐户拥有的特权。
实施最小权限访问原则的最佳方式是使用权限访问管理 (PAM) 解决方案。PAM 是指管理并保护可访问高度敏感数据和系统的特权帐户。 借助 PAM 解决方案,组织可以全面掌握并可控制对所有网络、应用、服务器和设备的访问权限。 这有助于防止特权帐户被内部威胁滥用,或被外部威胁行为者入侵。
使用强密码保护特权帐户
网络犯罪分子会执行暴力攻击,猜测特权帐户的登录凭证,以获得未经授权的访问。 组织需要使用唯一的强密码来保护特权帐户,以防网络犯罪分子未经授权就访问组织的系统。 使用唯一的密码能够导致网络犯罪分子很难入侵多个特权帐户。 长且复杂的强密码可防止网络犯罪分子猜中特权帐户的密码。
特权帐户的密码应该是唯一的,是至少 16 个大小写字母、数字和特殊字符的随机组合。 这些密码应避免使用任何个人信息、连续数字或字母以及常用的字典单词。
确保员工使用强密码的最佳方式是使用企业密码管理器。 企业密码管理器是一款让组织及其员工追踪、存储、共享、保护和管理所有密码的工具。 密码存储在数字加密的保险库中,并得到强主密码和 MFA 的保护。 密码管理器可以让 IT 管理员全面洞悉员工的密码使用习惯,并帮助员工生成强密码。
执行MFA
多因素身份验证 (MFA) 是一种需要额外身份验证才能访问账户的安全协议。 启用 MFA 后,用户需要提供其登录凭证以及另一种身份验证方式,才能访问特权帐户。 通过确保只有通过授权的访问,MFA 为这些特权帐户提供额外一层安全性。 即使对这些特权帐户的登录凭证被破解,网络犯罪分子也无法访问此帐户,因为它受 MFA 保护。
开展网络安全培训
为了保护特权帐户,组织需要对所有员工开展网络安全培训。 通过培训员工,组织可以确保特权帐户不会被入侵。 员工需要了解网络钓鱼等网络攻击,以便他们能识别并规避此类攻击。 他们应遵循网络安全最佳实践,如避免来历不明的附件或链接,将敏感信息存储在加密的位置,并定期更新其软件。
Keeper® 保护特权帐户
保护特权帐户的最佳方式是 PAM 解决方案。 借助 PAM 解决方案,组织可以缩小其攻击面,并防止网络内的横向移动。 通过 PAM,管理员可以全面掌握数据基础架构,并让他们使用唯强密码和 MFA 来保护特权帐户。
KeeperPAM™ 是一种权限访问管理解决方案,受到零知识加密和零信任安全性的保护。 这可以确保只有您的组织才能访问您的敏感数据。 KeeperPAM 结合了 Keeper 企业密码管理器、Keeper 密钥管理器®和 Keeper 链接管理器®,让您全面控制自己的数据。
申请 KeeperPAM 演示,开始保护您的特权帐户。