有一个比较有趣的文档 ,它使用帕累托原则 (80/20) 考虑信息安全。 该原则指出,20%的防护措施在公司安全方面提供了80%的效果。 读完这篇文档后,许多安全专业人士发现,在选择防护措施时,他们并没有从最有效的措施开始。 该文件确定了对信息安全影响最大的5项关键保护措施:
- 网络上所有设备的清单。 当您不知道网络中包含什么时,就很难保护网络。
- 所有软件清单。 存在漏洞的软件通常会成为黑客的切入点。
- 安全配置 — 或强制使用内置软件或设备保护功能。 简而言之 - 更改默认密码并限制访问。
- 查找并消除漏洞。 大多数攻击都是从已知漏洞开始的。
- 特权访问管理。 您的用户应该只拥有他们真正需要的权限,并且只执行他们真正需要的操作。
在本文中,我们将通过一个使用示例来了解第 5 点 。 更准确地说,我们将研究实施后或作为 Fudo PAM 免费测试的一部分可以发现的典型案例和问题。
不动PAM
关于解决方案只需简单说几句。 Fudo PAM 是一种相对较新的特权访问管理解决方案。 主要特点包括:
- 录制会话。 实时查看会话。 连接到会话。 为审判创造证据。
- 主动监控。 政策灵活。 按模式搜索。 动作自动化。
- 威胁防御。 滥用账户。 威胁级别评估。 异常检测。
- 寻找责任人。 如果多个用户使用一个登录帐户。
- 性能分析。 个人用户、部门或整个组织。
- 精确的访问控制。 在特定时间段限制用户的流量和访问。
嗯,最重要的优点是它会在几个小时内展开,之后系统就可以使用了。
对于那些对该产品感兴趣的人,... 将举行网络研讨会,详细概述和演示功能。 我们将继续讨论在特权访问管理系统试点项目中可以发现的实际问题。
1. 网络管理员定期允许自己访问禁止的资源
奇怪的是,最先检测到的事件是管理员的违规行为。 最常见的是非法修改网络设备上的访问列表。 例如,开放对禁止站点或禁止应用程序的访问。 应该注意的是,此类更改可能会在硬件配置中保留多年。
2. 多个管理员同时使用一个帐户
另一个常见问题与管理员有关。 同事之间“共享”一个帐户是一种非常常见的做法。 方便,但在此之后就很难理解到底谁对这个或那个行为负责。
3.远程员工每天工作时间少于2小时
许多公司都有需要访问内部资源(通常是远程桌面)的远程员工或合作伙伴。 Fudo PAM 允许您监控此类会话中的实际活动。 人们经常发现远程工作人员的工作时间远远低于预期。
4.多个系统使用相同的密码
相当严重的问题。 记住多个密码总是很困难,因此用户通常对所有系统使用同一个密码。 如果此类密码被“泄露”,那么潜在的违规者将能够访问几乎整个 IT 基础设施。
5、用户拥有比想象更多的权利
人们经常发现,看似权限减少的用户实际上拥有比应有的更大的权限。 例如,他们可以重新启动受控设备。 通常,这要么是权利发布者的错误,要么是内置权利划分系统的缺陷。
研讨会
如果您对 PAM 主题感兴趣,我们邀请您 ,将于 21 月 XNUMX 日举行。
这不是我们今年举办的最后一次网络研讨会,敬请关注(, , , )!
来源: habr.com