防止泄露事故的四个身份管理技巧

简介:
本文讲的是 防止泄露事故的四个身份管理技巧, 虽然2014年的很多大型数据泄露事故都源自于外部攻击,但事实是,内部攻击仍然是安全人员的首要考虑问题。事实上,根据PwC最新发表的报告显示,来自现任和前任员工的恶意行为是被提及次数最多 网络安全 风险,超过了有组织的罪犯、民族国家或其他外部攻击者的攻击行为。在该报告发布后不久,安全行业就证实了这个问题,据报道,AT&T某员工成功地进入客户数据库并访问了约1600位电信用户的敏感信息。

防止泄露事故的4个身份管理技巧

  这个数据泄露事故再次强调了特权身份管理和身份识别监控的重要性,企业应该确保员工只能访问其工作需要的数据,而不能滥用其特权来访问数据来破坏客户资料记录。

  “我们必须认识到,我们并没有100%的方法阻止具有访问权限的恶意员工访问客户数据。防止这种情况的最好方法是限制访问给那些需要的员工,”BeyondTrust公司开发高级主管Chris Silva表示,“例如,客户支持代表是否需要访问社会安全数据?答案可能是肯定的,所以他们可以确认来电者的身份,但你可以通过日志记录所有交易以及限制个人可以访问的范围来控制潜在的危害”

  目前我们还不清楚AT&T泄露事故中涉及的是什么样的员工,但Silva推测该公司可能已经部署了某种控制,鉴于1600条记录只是该公司整个客户数据库中的相对较小的部分。然而,这个事件也给企业敲响了警钟,他们需要找到办法来严格控制对大量敏感数据的访问权限。

  “虽然该公司并没有透露更多细节信息,但数据库管理员具有对海量客户数据的无限和未经审计的访问权限并不少见,而且还没有任何监管,”特权身份管理公司Lieberman首席执行官Phil Lieberman表示,“最可怕的一种情况是,攻击者感染数据库管理员,并获取其访问权限来暗中窃取信息用于转售或其他用途。”

  更好的特权访问管理还可以带来更好的问责制,这可以潜在地检测某种类型的知识产权盗窃。因为对于很多公司,都有几十个涉及知识产权的内部攻击没有被报道:当事情在内部发生时,很多企业会选择不告诉任何人,除非他们在法律上被要求这样做。PwC的调查显示,75%的企业并没有报道内部盗窃。

  同样地,实行所谓的最小特权规则可以阻止外部攻击,因为他们通常通过糟糕管理的特权账户来渗透网络。

  下面是企业可以采用的几个主要方法:

  1、列出特权账户

  “如果你不能有效衡量特权账户的范围,你将永远无法删除或管理它们,”Silva表示,“审计员基本上想要知道所有这些特权账户在环境中的位置。”

  企业还应该认识到,特权用户可能包括不同的角色,除了IT管理员之外。

  “传统上,我们会将管理员称之为特权用户,但在实践中,重要用户(例如业务线管理员)也可能通过IT系统造成严重问题,”BalaBit公司产品经理Csaba Krasznay表示,“出于这个原因,我们建议企业也应该控制和监控其活动。”

  2、附加身份信息到账户

  内部人员泄露事故可能永远不会被发现,如果超级用户账号登录凭证为共享,并由多名员工在IT和企业其他部分被反复使用。你可能会认为应限制这种访问类型,但这些账户每天都在企业共享。

  “基本步骤是,企业应该对所有特权访问提供责任制,”Kraszny表示,“所有特权用户都应该有自己的身份信息。”

  3、限制员工对数据的访问

  AT&T泄露事故强调了自动化系统不仅应该监控对敏感系统的访问,还应该限制员工如何可以积累对这些数据的访问。

  他表示:“这种情况指出了对行为分析以及响应系统的需求,当违反数据访问的‘正常’行为时,应该处罚锁定和企业响应。”

  4、监控和其他超级用户风险缓解

  有时候企业可能无法为每个特权账户捆绑用户身份信息。在这种情况下,监控和其他缓解做法有助于降低风险。

  “对于很多企业来说,强大的特权密码管理做法,加上管理员凭证的登入与登出、自动密码循环、会话记录,就已经足够了,”Silva表示,“在某些情况下,企业可能需要耕细粒度的授权政策,在必要时,移除用户的管理员或根级登录凭证。”


作者: 邹铮/译
来源:it168网站
原文标题:防止泄露事故的四个身份管理技巧
相关文章
|
3月前
|
存储 监控 安全
IDaaS(身份即服务)的潜在风险
【8月更文挑战第31天】
77 0
|
存储 安全 网络安全
利用隐私法规的漏洞窃取用户身份
欧盟的通用数据保护条例 (GDPR) 已成为现代隐私法律的试金石,部分原因是它赋予消费者前所未有的对其个人信息使用的控制权。然而,同样的权力可能容易被恶意攻击者滥用。在本文中考虑了社会工程师如何滥用围绕“访问权”(Right of Access)过程的法律歧义。这一假设通过对 150 多家企业的对抗性案例研究进行了验证。发现许多组织未能采取足够的保护措施来防止滥用访问权,从而有可能将敏感信息暴露给未经授权的第三方。这些信息的敏感性各不相同,从简单的公共记录到社会安全号码和帐户密码。这些发现表明,迫切需要改进主体访问请求流程的实施。为此本文提出可能的补救措施,以供政府、行业和个人进一步考虑。
87 2
|
安全 网络安全 数据安全/隐私保护
OKCC如何防范系统被盗打
市面上很多操作系统都内置有黑客工具。很多人安装操作系统时,为图方便或疏忽大意,下载的操作系统来源不明,就留下了隐患。客户安装OKCC时,安装的操作系统带有挖坑程序。 选择通信系统时,我们应尽量选择注重服务的供应商。在没有强有力的技术团队时,以及特别注重产品性能、稳定性时,应尽量减少或避免使用开源通信系统。一般的,开源通信系统的特点是搭建成本低,但是学习/维护成本高,当学习/维护成本投入不足,开源系统中的配置陷阱、BUG就会被心怀叵测之人利用从而导致损失,很多情况下,因这种损失带来的不仅仅是话费上的直接损失,还包括员工的人力成本损失、时间成本/机会成本的损失、业务延误的损失。 很多盗打者是通
|
数据采集 安全 算法
对风险用户“从不信任”,设备指纹的防篡改指南
一定程度上,设备指纹之于人的重要意义不亚于身份证。为什么这么说?大多数人可能都有过这样的经历:刷短视频时,只要我们点赞了某个视频,那么下一次再刷视频时,系统就会推荐更多类似的视频;
319 0
对风险用户“从不信任”,设备指纹的防篡改指南
|
安全 网络安全 数据安全/隐私保护
|
存储 安全
【15亿工资单、医疗信息和企业产权等敏感信息遭泄露】信息泄露事件频发,该如何有效防备?
近日,威胁情报公司DigitalShadows发布报告指出,2018年第一季度有15亿个与企业和个人相关的文件暴露在网上,数据量超过12PB(12,000TB)。
1600 0
|
Web App开发 存储 安全
9款热门密码管理应用可能正在泄露你的隐私数据
本文讲的是9款热门密码管理应用可能正在泄露你的隐私数据,2017年还有什么是安全的吗?答案很可能是否定的! 对于你的电脑、电子邮件和信息而言,确保你的密码安全是抵抗黑客攻击的第一道防线。而为了让大家生成足够复杂足够安全的密码的同时又省去记忆的烦恼,密码管理软件便应运而生了。
2154 0
|
存储 安全 数据安全/隐私保护
密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏
本文讲的是密码管理器OneLogin遭遇黑客攻击,企业客户敏感数据已被泄漏,OneLogin是一家为用户提供SSO(单点登录)服务的公司,近日该公司发生了黑客入侵事件。
1481 0
|
Web App开发 缓存 供应链
数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机
本文讲的是数字签名攻击报告:正在摧毁软件身份“信用体系”的安全危机,近期,360公司核心安全事业部发现全球范围内的利用软件数字签名的恶意攻击呈活跃趋势,黑客的攻击目标涉及软件开发商、个人用户和重要的政府、企事业单位;攻击形式多样,包括盗用、冒用软件开发商的合法数字签名和流行软件投毒的大规模定向攻击等。
1444 0