SIEM QRadar

  • IBM QRadar 使用者行為分析(UBA)

    運用機器學器(Machine Learning) 找出可疑的人員與帳號,防止「營業秘密」外洩

    基於不少重大外洩事件起源於內部員工,QRadar利用機器學習(Machine Learning)技術分析使用者與帳號行為,檢視企業內員工,甚至供應鏈中的外包合作廠商使用者行為模式,依據異常行為判斷內部機密資料是否已被竊取,以向管理人員發出警告,進而預防損失擴大。

     

    UBA Extension



    目前針對企業的攻擊行為有高達60%與內部威脅有關,當中又有約四分之一肇因於內部用戶的帳密遭釣魚網站或惡意程式竊取,透過行為模式分析,則可提供 異常使用行為示警,例如某員工首次或在過去未曾嘗試登入的位置登入一個儲存高價值資訊的內部系統,便會向管理人員發出警示通知,提醒加強注意。

    UBA Integration

     

    監視高風險活動,發現並管控內部威脅

    IBM QRadar User Behavior Analytics (UBA)用於全面深入地瞭解用戶異常行為和內部威脅,幫助企業輕鬆洞悉內部犯罪。該應用包含以用戶為中心的儀表板,按名稱顯示高風險使用者及其異常活動,以及與 QRadar相關的事件。只需按一下滑鼠即可將嫌疑人添加至觀察列表,或允許添加基於文本的注釋以說明觀察結果,還可以深入挖掘底層的日誌和網路行為資料。

    IBM QRadar User Behavior Analytics (UBA)幫助企業輕鬆全面瞭解可能是內部威脅的個人用戶和異常行為,在與SIEM相同的管理介面上,添加了一個以用戶為中心的視圖,應用元件包括受監控使用者的數量、高風險用戶、風險類別、安全事件和攻擊行為、系統狀態以及使用者觀察清單,並依據不同行為進行風險權重加權。

    IBM QRadar UBA 該系統包含三大部分,分別是協助分析並為員工行為風險評分的風險分析概覽、優先排序行為分析儀表板,以及強化既有QRadar安全資料等。

    IBM QRadar User Behavior Analytics (UBA) 使用者風險儀表板

    IBM QRadar UBA 能快速偵測各種異常行為

    UBA 1

    Machine Learning 找出偏離之行為

    UBA MachineLearning

     

    為何需要使用 IBM QRadar User Behavior Analytics

    內部威脅占到企業所遭受安全攻擊的大約 60%,其中許多情況是由於內部員工、合同工或合作夥伴成為網路釣魚攻擊或其他攻擊的受害者,而使營業祕密外洩案逐年增加。

    例如,當用戶使用特權帳戶在新位置第一次登入到高價值的伺服器時,這種新的用戶行為分析應用會向分析人員發出警報。由於 UBA應用解決方案建立了正常用戶行為的基線,因此所有明顯偏離該基線的異常模式都無所遁形。

    內部威脅占到企業所遭受安全攻擊的大約 60%

    IBM QRadar User Behavior Analytics有哪些優點?

    擴展了 IBM QRadar Security Intelligence Platform的功能

    • 包含全新的整合儀表板
    • 結合了用戶行為分析功能
    • 幫助安全分析人員洞悉個人用戶和異常行為

    應對內部威脅

    • 防止惡意的內部人員和網路罪犯
    • 及早發現營業機密資料的非法存取
    • 以用戶為重點,檢查異常行為、威脅以及資料洩露情況
    • 全面深入地瞭解高風險用戶及其行為

    提高安全分析人員的工作效率

    • 計算風險分數,對高風險使用者進行排名
    • 使用 QRadar收集的資料,應用現成可用的新行為規則和分析
    • 顯示安全攻擊所涉及的日誌與流資料
    • 檢測異常行為,建立用戶觀察列表
    • 在新的 QRadar選項卡和儀表板中按使用者顯示結果
    • 事件響應解決方案整合,更快地形成閉環
    • 佈署後幾乎立即可以產生結果
  • IBM新一代資安防護架構 協助企業對抗資安威脅

    作者:Information Security 資安人科技網 編輯部 -04/28/2016

    IBM QRadar 扮資安情報與防禦要角

    伴隨著全球基礎網路服務日益普及,駭客組織發動的攻擊也比過去更為猛烈,根據IBM X-Force 威脅情報季度報告指出,現今企業面臨資安挑戰遠比過去更巨大,不僅有來自於外部的各種攻擊事件,公司內部也因有嚴重資料外洩事件,讓資安人員疲於處理各種 資安威脅,造成企業營運上的沈重負擔。

    根據IBM台灣資安技術協理謝明君長期觀察發現,融合多層次攻擊手法的資安威脅事件正逐漸增加 中。一般而言,企業會從資安設備中察覺新手駭客發動的攻擊事件,當資安人員誤以為資安威脅已清除時,其實早有其他駭客組織利用同樣的漏洞入侵,並且悄悄潛 伏工內部網路之中。一旦資安人員缺乏進行深層事故調查與根本原因分析的概念,將難以發現潛藏於企業內部之中的惡意程式,根據資安報告指出惡意程式平均可在 企業內部潛伏長達1年以上,成為資料外洩事件不斷發生的主因。

    在駭客組織發起的攻擊之外,惡意員工亦是造成資安事件不斷發生的主因。 IBM台灣資安技術協理謝明君發現部分有擁有系統管理員權限的員工,或者有意竊取商業機密的同仁,可能會透過安裝後門程式的方式,以遠端連線方式躲過資安 設備檢查,藉此存取公司內部機密資料,進而造成企業極大的經濟損失。IBM認為要降低資安威脅事件帶來的衝擊,必需要從六大面向著手,才能強化整體資安防 禦體制,保護得來不易的研發成果。

    六大面向著手 強化整體資安防禦體制

    首 先,企業應該要回歸資安基本面,資訊人員需定期安裝修補程式,因為從現今全球各地發生的許多攻擊事件來看,多半都是沒有修補資訊系統存在各種漏洞,才讓駭客組織有可乘之機,並且造成許多嚴重個資外洩事件。因此,IBM台灣資安技術協理謝明君建議企業應該要落實前述資安基本工作,並且建置一套弱點管理系統, 逐步強化自身資安體質,降低駭客入侵的發生機率。

    第二個重點,企業應進行完整的事件搜集,建立內部SOC平台,才能精準掌握機密資料的 存取狀況。資訊人員若沒有進行日誌搜集並做關連性分析時,勢必無法發現前述躲藏在公司內部中的各種惡意程式,導致斥資購買的各種資安設備,無法發揮預期中 的效益,讓公司陷入不斷重複的資安威脅之中。部分企業會購買可提供資安監控與事件回應機制的服務,只是此類服務多半僅能定期提供報表,顯示公司內部中的前 10大攻擊來源、事件類型或流量等資訊,但若資安人員未能據此進一步進行深層調查,將依然無法發現前述多層次的進階攻擊事件,也會導致寶貴資安預算白白浪 費。

    IBM台灣資安技術協理謝明君認為第三面向,則是應該要強化使用者資安意識訓練,減少用戶端因為人為疏忽造成的資安事件。一般而言,政府單位或金融、醫療業等,因受到主管機關要求,較常進行社交工程演練,使用者資安意識較高,自然較少發生資安事件。相較之下,製造業通 常較少進行教育訓練,駭客組織只需要透過釣魚郵件,即可輕鬆攻破資安防護往。從調查結果發現,資安專家均認為培養使用者良好資安意識,是對付資安威脅好投資,所以企業在添購資安設備之餘,也該規劃定期規劃資安教育課程,才可減少必不要的人為疏忽。

    至於第四件重要工作,即是做好特權帳號管理。特權帳號是資訊系統中權限最高的帳號,能存取企業內部的各種重要商業機密,但即使是資安規範嚴格的大型企業,也多半未確實做好職權區分(Separation of duty),或特權帳號的管理不夠紮實,常見到多人共用同一組系統管理者帳號密碼,若有一人離職可能就會造成安全缺口。此種狀況,在中小型製造業中更為明顯,多數資訊人員為了工作上的方便,往往會給維護廠商人員最高系統權限,所以駭客組織只要攻破合作夥伴的防禦機制,便能繞過企業的資安防護網,順利且取各種機密資料。另一個常見問題,便是資安人員沒有做好帳號的生命週期管理,以致於離職員工還能夠利用舊帳號登入系統,IBM認為唯有人事管理系統需能與其他系統連動,才能避免上述狀況發生。

    在勒索軟體大行其道的年代,許多企業的備份工作因不夠完善,或即使有做備份,卻沒有進行復原測試,以致於面對前述事件時,只能被迫支付贖金,避免系統被毀於一旦。為此,建立一套完善備份復原機制絕對有其必要性,有助於減少勒索軟體帶來的衝擊,保護商業機密的安全。

    至於最後一點,則是進行事件稽核記錄,找出異常連線行為。多數資安設備均會提供日誌管理功能,資訊人員若能夠善用日誌管理或資安事件管理系統,針對不同事件稽核記錄進行分析,或者與專業服務廠商合作,由資安顧問協助日誌的判讀,即可盡早早發現可疑行為,降低企業營運的資安風險。

    IBM資安產品線齊全 即時抵抗駭客攻擊

    企 業無法阻擋駭客攻擊,主要是缺乏系統性的資安架構,多數資安人員均是在出現某種資安需求時,僅就該問題規劃相對應的資安架構,很容易造成投資的浪費。 IBM台灣資安技術協理謝明君建議企業應以關鍵資產為核心,先從了解公司最需要保護的系統著手,再藉此擬出資安投資的優先順序,自然可以達到優化工作流程 與保護商業機密的目標。以時下企業關注的BYOD趨勢為例,企業若沒有一套全面性的資安策略,每當有新裝置要進入內網時,便得就重新提出管理辦法,導致員工在使用行動設備或面臨許多管制,反而失開放BYOD的目的便利性。

    IBM台灣資安技術協理謝明君認為企業有一套完整且清楚的資安架構 時,便能夠因應資安趨勢變化,快速調整資安設備部署方式,利用有限預算抵禦內外攻擊。而為協助企業對抗各種資安威脅,IBM早建構一套完整資安產品線,讓 資安人員能夠依照企業營運需求,逐步添購所需的資安設備,保護多年來辛苦累積的研發成果。

    IBM資安架構圖是以IBM QRadar智慧資訊安全解決方案(Security Intelligence Platform)為核心,該平台是結合日誌分析、漏洞管理與掃瞄資料外洩鑑識的 SIEM (Security Information and Event Management)管理平台,可作為小型至大型企業組織安全營運中心內的核心解決方案,透過收集、正規化可用網路資料,與網路資料彼此的關聯性,進而 產生各種有用的安全性情報。

    該平台能收集來自防火牆、虛擬私有網路、入侵偵測系統、入侵防護系統等發生的安全性事件,以及身分識別和存取管理產品及漏洞掃描器的內容資料、應用程式的各種日誌,並且使用企業預先設定好的客製化規則,將些資料整併成為可管理的攻擊事件清單,作為資安人員對抗 駭客攻擊的參考。

    IBM台灣資安技術協理謝明君更進一步說明,網頁服務成為市場主流的狀況下,早已被駭客組織列為首要攻擊目標,特別是多數應用系統存在不少弱點,以致駭客無須花費太多功夫,即可取得各種機敏資訊或客戶資料,進而危及整個企業的安全。而IBM AppScan網頁應用程式弱點掃描軟體可協助資安團隊,測試、稽核開發中或已上線的Web應用系統,檢查是否隱含最新資安威脅,如OWASP Top10、Adobe Flash、JavaScript及AJAX等漏洞,並且能依照企業營運需求,設定全面的應用程式掃描範圍來找出弱點,再依照詳細結果以簡化補救措施。特 別是該軟體提供超過40種立即可用的法規遵循報表,滿足因應PCI、GLBA、及HIPPA等法規要求,大幅降低手動測試可能產生的測試盲點弱點。

    此 外,在行動裝置時代來臨之際,IBM 也有專為企業設計的MaaS360行動管理平台,該平台具備跨平台管理、保護行動設備的功能,如行動設備管理、行動應用程式管理、應用安全、安全郵件服 務、安全應用程式市集,安全檔案共享等。由於IBM MaaS360是一項屬於SaaS的雲端服務,企業用戶無須在公司內部架設伺服器,即可迅速取得保護行動裝置、商業機密安全的公有雲服務,能滿足不同型態 的企業需求。

    為有效掌握全球資安趨勢變化,IBM 亦有匯集多位資安專家而成的X-Force研發團隊,可隨時監控最新威脅趨勢變化,包括漏洞、洩漏、主動攻擊、病毒和其他惡意軟體、垃圾郵件、網絡釣魚及 惡意的網頁內容,並且會主動分析動態網路威脅資料,同時透過與IBM資安設備相互串連的方式,協助企業用戶快速查看威脅、獲取深入分析和脈絡環境、設定安 全事件的優先順序,預防或最小化資安威脅。因此為了大幅增加資安聯防的效益,IBM同時也推出X-Force Exchange為雲端型資安威脅情報分享平台,提供使用者快速研究最新的全球資安威脅、彙整可靠情報,讓企業享有更完善的保護機制。 

  • Check Point與IBM Security合組威脅防禦聯盟

    2016/03/23-DIGITIMES 朱雅琳
    全球最大、專攻資安解決方案的業者Check Point(NASDAQ:CHKP)和IBM Security近日宣佈進一步加強雙方合作,包括共用威脅情報,代表著資安業界已經進入了採用更加協作的方式以抵禦網路威脅的新時代。此外,雙方還宣佈一系列廣泛的產品整合,並擴大對IBM顧問服務和資安代管服務的投資。

    網路犯罪已迅速發展成為企業面臨的重大威脅,也成為世界上最大的非法經濟體之一。根據聯合國資料,網路犯罪之年度非法獲利約達4,450億美元。為了應對複雜且侵略性的攻擊環境,Check Point和IBM安全的合作旨在提高企業的安全防禦信心,不僅能協助企業檢測安全風險,還為企業提供了強大並可靠的工具,在攻擊真正生效前,就能夠先行抵禦。

    雙方合組的聯盟將在以下四個主要領域展開合作:

    • 共用威脅情報。為了有效預防嶄新且不斷變化的威脅,資訊安全產業需要採用開放的協同防禦途徑。IBM X-Force和Check Point的安全研發團隊將直接協作,藉由採用IBM威脅情報共用平台IBM X-Force Exchange(XFE)雙向共用威脅識別和分析資訊。這些蒐集到的威脅情報將會整合到雙邊各自的威脅情報產品,為雙方的客戶提供更好的主動威脅防護。

    • 整合事件管理。客戶部署的安全管理平台即將增設的共用功能將加速其對威脅事件的整體反應,並為用戶延伸了安全技術投資的價值。為了與IBM Security的QRadar情報平台(IBM Security QRadar Intelligence Platform)整合,Check Point將在IBM Security App Exchange上推出新的SmartConsole應用軟體。這個應用軟體將把Check Point設備上蒐集到的網路資料和安全事件傳送給QRadar,以使操作者可以直接從QRadar控制台即時瞭解威脅情報,從而進行更快的事件回應。

    • 進階的行動防護。與IBM MaaS360企業行動管理(EMM)的整合,將使客戶可以便捷地部署和管理Check Point行動威脅防禦方案,進而透過即時觀察所得知資訊,來限制遭污染的設備接取企業網路和資料。這些功能的整合可提供自動防護,抵禦來自行動設備、應用程式和網路等不同層次的威脅,同時大大簡化了行動安全技術的部署和持續監測的複雜性。

    • 資安代管服務。IBM資安代管服務(MSS)將繼續增強在遞送和管理Check Point解決方案方面的專業知識,為IBM客戶提供更好的服務。為了部署和管理Check Point一系列廣泛的網路安全產品,IBM將配置新實驗室設備並為IBM SOC分析師和架構師提供持續的培訓。此舉將讓用戶能以更具成本效益的方式取得資源與專業知識,滿足其持續發展的資安需求。

    Check Point安全解決方案副總裁Avi Rembaum表示:「當今的商業環境比過去任何時候都更高度連網,且持續不斷在創新,這就需要採用同樣創新的方法來協助用戶在應對潛在威脅時,能夠領先一步。Check Point和IBM Security採取了預防為先的方法來應對資安需求。藉由情報共用和技術整合,我們的目標是協助客戶提高安全防護水準,並建立全新的產業合作模式。」

    IBM Security策略副總裁Caleb Barlow表示:「情報和專業知識的共享,能讓資安產業有效地將防禦能力提高到一個全新水準。網路犯罪分子對共享概念並不陌生,我們整個產業都需要積極迎戰、加強防禦。與Check Point這樣優秀的合作夥伴攜手實踐協作,對我們的共同客戶來說,的確大有益處。」

  • SANS Names IBM QRadar as the Best SIEM for 2015

    SANS Names 2015 Best of Award Winners

    Bethesda, MD / March 14, 2016

    Honors InfoSec Products that are Making a Difference by Protecting Businesses and Consumers from Cyber Attacks

    SANS Institute, the global leader in information security training, today announced the winners of the SANS Best of 2015 Awards which celebrates security products that make a difference. The award winners were driven by the people actually using these products, not vendors. Security operations professionals and security managers from within the SANS community participated in the voting.

    According to John Pescatore, Director of Emerging Security Trends at SANS "Many survey respondents indicated that lack of skilled staff drove them to use external services or consultants rather than procure and use a product directly. This is consistent with the findings of the SANS CyberTalent program, which has been working to increase the size of the cybersecurity work force to enable companies to meet their staffing needs."

    The SANS Best of Awards are an extension of the SANS WhatWorks Program which creates awareness of security programs and solutions that are actually being used to stop cybercrime and cyber espionage, improve security and enable business. The Best of 2015 Award winners and honorable mentions will be recognized on Wednesday, March 16th at the SANS 2016 (Orlando) training event. Award winners include:

    SIEM

    Winner:
    IBM Security QRadar

    Honorable Mention:
    Splunk
    HP ArcSight

     

    SANS Names IBM QRadar as the Best SIEM for 2015

    The QRadar team at IBM Security was delighted to see IBM Security QRadar named as the winner of the 2015 SANS Best SIEM Award. Every year, the SANS Institute surveys its more than 200,000 hands-on security practitioners, most of whom use commercial products, and publishes what the community likes best.

    SANS Honors Top Security Products

    “Each year SANS surveys the SANS community for nominations for the SANS ‘Best of the Year’ awards for products and services that have been successfully used to provide increases in both the effectiveness and efficiency of cybersecurity programs,” the SANS Institute wrote.

    “In 2015 the products were voted on by security operations professionals and security managers from around the world, all of whom are actual users of these products. The SANS Best of Awards are not driven by vendors, but by the people actually using these products.”

    Organizations have told IBM what they need from a security information and event management (SIEM) solution. The top features included the ability to:

    • Detect attacks in real time using best practices and behavioral analysis.
    • Deploy quickly with minimal intervention from an already overworked and understaffed security team.
    • Integrate with third-party security solutions to create a single pane of glass for all security events, alerts and workflows.
    • Monitor and secure cloud services, including cloud-based deployments.
    • Have a strong partner network and ecosystem to provide support and offer advanced security skills.
    • Maintain compliance with internal and external regulations.

    Why QRadar Stands Out

    This is quite a list, but the QRadar team is focused on these requirements and relentlessly drives innovations to deliver real value against them. Take, for example, the IBM Security App Exchange, which now has more than 30 available apps and extensions, covering many aspects of security operations workflow, compliance, visualization, monitoring and more.

    The product has also expanded deployment options to include new cloud, managed security services provider and software-as-a-service offerings while simultaneously improving out-of-the-box support for on-premises security systems.

    QRadar is very busy working on new innovations to transform customers’ security operations with leadership features, including:

    • A single architecture for analyzing log, flow, vulnerability, user and asset data;
    • Real-time and historical security data correlation and behavioral anomaly detection rules to identify high-risk threats;
    • High-priority incident detection among billions of daily incoming data points;
    • Full visibility into cloud, network, application and user activities; and
    • Compliance data collection and reporting using automation to reduce regulatory burdens.

    The security environment continues to get tougher, the threats are getting more severe, there are fewer available skills, and there is an abundance of point security solutions — all long on promises, yet short on delivery. This recognition from SANS showed that there are SIEM solutions that can balance advanced technologies with positive user experiences, and QRadar is one of them.

  • 如何恰當地限制特權帳戶?

    如何恰當地限制特權帳戶?

    Verizon公司在《2015年資料洩露調查報告》中指出,在其分析的約80000起安全事故中,96%可 歸因於9種基本攻擊模式(因行業而異)。在這9種攻擊模式中,內部濫用排在第三位,而其中55%的濫用是特權帳戶濫用。該報告指出,個人濫用其存取權限幾 乎發生在每個行業;然而,受影響最大的行業是公共事業、醫療和金融行業。

    Verizon公司在《2015年資料洩露調查報告》中指出,在其分析的約80000起安全事故中,96%可歸因於9種基本攻擊模式 (因行業而異)。在這9種攻擊模式中,內部濫用排在第三位,而其中55%的濫用是特權帳戶濫用。該報告指出,個人濫用其存取權限幾乎發生在每個行業;然 而,受影響最大的行業是公共事業、醫療和金融行業。

    沒有人願意承認,受信任的雇員或內部人員在濫用其特權帳戶來給企業造成破壞。但事實是,無論是為了經濟利益、報復或意外事故,肇事者都擁有訪問權 限、知識、機會、時間來進行攻擊,還可能知道如何不被發現。然而,限制特權訪問並不是信任的問題,如果信任是問題,那麼企業應該解雇這個內部人員,這是謹 慎控制和問責制的問題。所幸的是,CISO有辦法來部署控制以及分配特權帳戶,而不會影響工作人員履行崗位職責的能力。

    特權帳戶帶來的挑戰

    絕大多數系統管理員、網路工程師、技術支援人員、資料庫管理人員和資訊安全工程師認為,由於其工作的性質,他們需要全面而不受限制的特權訪問。這裡的挑戰是,他們和企業非常依賴這種級別的存取權限,這很難改變。造成這種情況的原因包括:

    在多個平臺和組件特權帳戶通常是相同的。如果特權帳戶可以攻破一個平臺,則會影響對整個環境的訪問。

    有些特權帳戶在管理員之間共用,從而影響問責制。

    應用系統中嵌入式服務帳戶讓其難以遵守安全性原則規定的定期更改密碼。

    特權帳戶通常不是受相同的企業密碼控制,因為擔心在重要時刻他們可能被鎖定而被拒絕訪問。

    糟糕的變更控制、無效的回收系統以及經常性緊急變更需要特權訪問,以保持系統的可用性和性能水準。

    小部分工作人員要求管理人員在網路、系統、應用、安全和資料庫管理員水準填補衝突的工作職責。

    限制特權帳戶

    管理員需要比一般使用者更高的存取權限來訪問系統資源以完成其工作。例如,對網路設備配置的任何微小變化都會影響整個企業,限制存取權限可能不利於 IT運營和系統可用性。但企業仍然通過職責分離、監控活動、變更控制要求、最小許可權和問責制等基本控制來限制特權帳戶,這些控制包括:

    限制特權帳戶的數量。

    並非所有管理員需要域帳戶或對外部安全管理器的超級用戶特權,例如大型機IBM的RACE、CA-ACF2或CA-Top Secret。

    在分配特權帳戶時使用Active Directory Administrative Groups。

    確保特權帳戶使用自己的帳戶,他們可以有特權帳戶,但他們應該使用一般用戶帳戶,因為指定管理員才可擁有特權帳戶。

    所有特權活動應該被記錄,日誌應該直接路由到SIEM,這樣日誌無法被刪除或修改。

    對於所有遠端存取,管理員應該使用多因素身份驗證。對於所有三層網路設備和關鍵任務子網時,應該需要代理或跳躍伺服器以及AAA TACACS/RADIUS伺服器來獲得存取權限。

    可由管理員訪問的敏感性資料應該進行加密以減小風險。

    管理員密碼應該由企業控制,並由Group Policy Object執行,而無一例外。

    技術管理人員應執行定期帳戶認證,以確保是否仍然需要特權帳戶存取權限。

    資料庫管理員不需要域帳戶,他們需要存取權限來維護資料庫、模式和執行資料庫庫重組。如果他們需要修改資料,應受到資料庫監控。

    使用防火牆VLAN、代理伺服器和ACL來分隔網路,讓管理員只能訪問他們負責的系統。

    資訊安全帳戶需要規定安全結構,但他們不需要存取權限來讀取或修改生產資料。這些帳戶因由SIEM監控,活動應進行管理審查。

    技術管理員不應該有域帳戶,除非因為人員配備不足而需要。管理人員和資訊安全人員應該監控特權帳戶活動。

    使用資料丟失工具來監控網路、伺服器、共用和端點的活動,以防資料洩露或滲出。

    現在市面上有很多工具可提供對特權帳戶的額外限制,這些特權訪問管理系統各有不同,並可用來增強上述控制。除了這些系統,限制特權帳戶數量、監控特權帳戶活動、確保問責制、職責分離和保護敏感性資料就已足夠。

    限制特權帳戶

    限制特權帳戶很多時候取決於IT組織的規模,管理員越多,企業就越容易根據最小許可權來限制訪問。在小團體中,每個人都履行不同的職責,限制訪問更具挑戰性。然而,如果沒有問責制或監控,特權用戶可能會誤入歧途。這裡有三種類型的控制:

    預防性控制:讓特權帳戶只能訪問使用者負責的系統和緩解。

    檢測性控制:確保特權帳戶活動是全面且安全的,並由使用管理員無法訪問的SIEM或系統日誌伺服器來監控。

    糾正性控制:確保部署足夠的備份和恢復控制,以在特權使用者濫用的情況下,讓系統回復到正常狀態。

    企業可使用這些控制或者適當組合這些控制來有效控制特權帳戶。安全以及對特權帳戶的控制不一定是繁重或破壞性的,深思熟慮的拓撲結構、存取權限、監控和恢復程式可減少特權使用者風險,並允許他們履行自己的工作職責。