特权访问指具有业务系统特权的人,对业务系统进行配置更改,或者对业务数据访问操作等行为。将分散、混乱特权访问现状进行集中统一管控是有效的解决办法,实现特权身份和访问权限进行集中管理,并对访问行为进行全程实时记录,为事后安全审计提供有力证据。
一、特权访问下安全风险
特权访问指具有业务系统特权的人,对业务系统进行配置更改,或者对业务数据访问操作等行为。特权访问行为可控制组织资源、修改安全策略以及访问大量敏感数据,常常和系统运行维护操作相关,系统运行维护访问操作是最为典型的特权访问行为。例如在Linux系统上以root权限登录系统修改系统参数、停止核心业务服务或执行系统关机操作;亦或在交换机上以管理员权限登录修改交换机路由配置添加访问白名单放行外部用户访问内部敏感系统和数据等。特权访问具有隐秘性强、可执行权限高和影响范围广的特点。特权访问常常存在如下的安全风险:
- 特权身份冒用、滥用
- 访问权限管理混乱
- 缺乏有效的安全审计,无法满足安全监管要求
- 数据传输泄露和威胁分析能力不足
二、特权访问下数据安全建议
将分散、混乱特权访问现状进行集中统一管控是有效的解决办法,实现特权身份和访问权限进行集中管理,并对访问行为进行全程实时记录,为事后安全审计提供有力证据。绿盟君提出如下四点安全建议来提升特权访问安全。
建议1—特权身份集中管理
(1) 主帐号集中管理
把具有特权身份自然人抽象定义为主帐号,所有可访问业务系统帐号密码信息抽象定义为从帐号,将所有主帐号和从帐号统一管理起来是特权访问管理的前提。通常采用三权分立原则对主帐号进行管理,可以划分为特权身份管理员、特权审计员和系统维护员三类角色权限,其中特权身份管理员负责对主帐号新建、编辑、权限分配、注销等一系列全生命周期管理;特权审计员负责对主帐号操作行为、从帐号使用情况进行审计分析,并对审计结果进行统计报表等;系统维护员负责对特权身份管理系统的配置、更新和维护等。三类权限相互牵制,防范特权权限监管真空区。同时结合双因素或多因素认证方式对主帐号进行身份鉴别,解决特权身份混用、冒用问题,也为安全事件指证和定则提供可靠依据。并引入身份鉴别防护机制,例如对暴力尝试破解密码行为进行锁定登录,静默会话自动注销,不能使用重复密码,帐号密码信息加密存储等等安全机制保护主帐号信息。
(2) 从帐号集中管理
把所有业务系统抽象定义为目标设备。将目标设备中的所有从帐号进行集中管理形成从帐号分布全景图,等同于管理好了访问企业信息资产保险库的“金钥匙”。基于全景图的基础上管理好“金钥匙”的分发和使用情况,同时也要做好周期性巡查工作,及时发现企业中未纳管的目标设备和从帐号信息。例如通过SSO(单点登录)技术使得主帐号用户在不知道从帐号密码的条件下也可访问业务系统和数据。周期性扫描IDC机房中存活的业务系统以及发现从帐号信息。
定期检查从帐号密码状态,及时发现异常情况,保管好“金钥匙”。例如周期性对从帐号密码有效性进行验证,可及时发现从帐号密码泄露或失窃,发现特权访问时越权改密操作行为。周期性对从帐号密码进行改密,使得密码满足强密码规范要求,解决从帐号密码泄露和失窃问题。周期性检测从帐号状态,可及时发现非法植入的幽灵(后门)帐号,因员工离职后未及时注销的孤儿(长期不用的)帐号等异常从帐号情况。对于核心业务系统“金钥匙”最好是能够改造升级鉴别机制,升级到双因素认证方式(即支持可知因素和不可知因素的双因素认证),例如从帐号鉴别通过固定密码和动态密码组合方式进行认证,可彻底解决密码丢失、窃取和周期更新问题。
建议2—访问权限集中管控
(1) 最小访问权限原则
将访问权限尽可能划分为最小粒度,仅赋予特权访问所需的最小权限集合,统一集中分配特权访问时的权限,形成特权访问权限全景图,清晰描述哪些自然人能够访问哪些业务系统,具备哪些访问权限,尽可能减少特权访问中权限滥用或越权行为发生。例如数据库从帐号按查询和编辑权限划分为两类帐号user1和user2,当仅需要查询操作时分配usr1即可,防范误删除数据。也可以按服务器应用特点,将权限划分为上传和下载权限来进行管控,例如文件服务器等。
(2) 金库模式
对于访问高价值业务系统和高危级别操作时,应采用实时金库模式进行管控,即配置“操作-监管”的双岗位模式对特权访问进行管理,实行高价值业务系统“一访问一审批”,高危级别操作“一操作一审批”,并对访问操作过程专人专岗实时管理。例如访问网络边界出入口交换机和防火墙时,修改访问控制配置或重启设备操作时,都应进行操作审批和确认。
建议3—全程集中安全审计
事后事件分析的主要内容是谁在什么时间,什么地点对哪个业务系统进行了什么操作,具备什么权限,进一步可以提升到操作者是谁管理的,谁导入到运维环境中的,事件中的业务系统主管单位或者主管人员是谁,访问权限分配是否合理,访问权限都是有谁分配和审核,经过了哪些调整。这些问题都可以通过安全审计的方式完整记录下来。事后分析中更重要的是能够完整还原事件的过程,准确评估事件的风险和损失。
建议4—数据加密和威胁分析
(1) 通信协议加密保护
加密数据是解决网络嗅探和监听的最好方式。对特权访问通信的数据流进行数据加密,可有效防范监听和流量还原导致的数据泄露情况。例如将文件传输FTP协议更新为SFTP,TELNET更新为SSH,VNC更新为RDP等等。
(2) 威胁分析和检测
业务系统被特权访问后留下的数据是否对业务系统稳定性、业务核心组建的安全影响有多大,是否存在安全威胁?这些问题时刻困扰着管理员和CISO们。由于特权访问的强隐秘性,传统安全检测手段(例如IDS,网络审计或安全沙箱等)难以发现安全威胁。若是在传统安全检测技术基础上增加协议代理或数据摆渡技术可以有效解决特权访问过程中数据威胁分析,提高数据安全能力。
三、总结
在特权访问行为全过程中,事前特权身份识别,形成“一人一角色一账号”,即一自然人属于一类角色权限使用一个账号,防范身份冒用和混用;事中访问权限集中管理,依靠“一图一原则一模式”,即访问权限全景图、“最小权限”原则和“操作-监管”模式,转变权限管理模式;事后操作行为安全审计,构成“一人一操作一记录”,即任一自然人任一操作行为均有一条记录,提升事件分析和追溯能力;不断对运维数据保护和威胁分析,杜绝数据泄露和发现安全威胁。使得特权访问管理由被动变为主动,切实有效提升企业或组织团体效益。
【本文是51CTO专栏作者“绿盟科技博客”的原创稿件,转载请通过51CTO联系原作者获取授权】
