《特权账号管理权限解决课件》由会员分享,可在线阅读,更多相关《特权账号管理权限解决课件(60页珍藏版)》请在金锄头文库上搜索。
1、特权账号管理解决方案目录contents特权安全管理背景01特权安全解决方案02特权管理场景及案例03特权安全管理背景 01蔡淑妍,2016年7月19日被骗9800元,留遗书溺亡徐玉玉,2016年8月19日被骗9900元,郁结于心离世宋振宁,2016年8月18日被骗2000元,导致猝死01电信诈骗致死三名大学生02新兴的网络攻击已出现-1美国大规模断网调查:病毒感染中国产监控设备,百万设备无法修复美国大规模断网调查:病毒感染中国产监控设备,百万设备无法修复黑客在本周五(10 月 21 日)通过互联网控制了美国大量的网络摄像头和相关的 DVR 录像机,然后操纵这些肉鸡攻击了美国的多个知名网站,包
2、括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。据了解,黑客们使用了一种被称作物联网破坏者的 Mirai 病毒来进行肉鸡搜索。更为致命的是,Mirai 病毒的源代码在 9 月的时候被开发者公布,致使大量黑客对这个病毒进行了升级,传染性、危害性比前代更高。Mirai 病毒是一种通过互联网搜索物联网设备的一种病毒,当它扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆(一般为 admin/admin,Mirai 病毒自带 60 个通用密码),一旦登陆成功,这台物联网设备就进入肉鸡名单,开始被黑客操控攻击其他网络设备。根据国外网站
3、 KerbsonSecurity 的调查,导致大规模断网事件的原因绝非我们想象的那么简单,其背后暴露出物联网设备的重大安全隐患。据报道,一共有超过百万台物联网设备参与了此次 DDoS 攻击。其中,这些设备中有大量的 DVR(数字录像机,一般用来记录监控录像,用户可联网查看)和网络摄像头(通过 Wifi 来联网,用户可以使用 App 进行实时查看的摄像头)。而据安全公司的数据显示,参与本次 DDoS 攻击的设备中,主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用,在美国大量销售。世界首例乌克兰大停电证实是遭黑客入侵电影中经常有黑客入侵电力系统,导
4、致整个城市或甚至国家停电的剧情,虽然好莱坞编剧们“互相参考”之下,这种剧情写得好像理所当然,不过在现实世界中,尽管电厂与电力设施每天都遭到黑客攻击,成功导致大规模停电的例子原本其实一件都没有,直到2015 年12 月,乌克兰才首开纪录。2015 年12 月23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电,1 个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成,2016 年1 月4 日时,安全公司iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码,由于过去从来未曾有黑客攻击造成电网大规模停电的纪录,iSight Partne
5、rs 认为这起攻击是电网资安史上的里程碑。乌克兰相关单位怀疑可能是俄罗斯在背后发动这起攻击,俄罗斯先前用木马软件BlackEnergy 攻击乌克兰政府相关机构,乌克兰方面认为这次停电也可能是俄罗斯国安当局使用BlackEnergy 对乌克兰进行的攻击,不过尚未有足够证据显示攻击是由BlackEnergy 或是俄罗斯单位所发动。过去电力网络遭入侵时,因为各系统的软硬件规格不同,系统环境破碎之下,黑客很难发挥太大影响,大多数攻击都被视为根本不值一提,连向上回报的必要都没有,但乌克兰如今证实黑客造成大停电的电影情节有可能成真,各国电力系统管理当局可得更绷紧神经了。03新兴的网络攻击已出现-2台湾第一
6、银行台湾第一银行ATM机黑客盗领案机黑客盗领案2016年7月中,我国台湾地区的台湾第一银行旗下20多家分行的41台ATM机遭遇黑客攻击,被盗8327余万新台币。360追日团队对这起针对ATM机的黑客攻击盗窃事件进行了分析,还原了整个事件的过程,分析了黑客攻击手法和过程,并据此提供了安全建议。7月4日,入侵者仿冒更新软件并下发至第一银行各ATM,开启ATM远程控制服务(Telnet Service)。直到7月9日入侵者再远程登录,上传ATM操控程序后,远程遥控进行吐钞,由各就各位的“钱骡”领取赃款。完成盗领后,远程操控者再将隐藏控制程序、纪录文档、执行文档全部清除。办案人员同时查出,对第一银行A
7、TM下达吐钞指令的恶意程序,竟来自第一银行英国伦敦分行电脑主机和2个存储电话录音的硬盘,其中一个已经损毁。据判断,犯犯罪集团先黑入录音硬盘,取得电罪集团先黑入录音硬盘,取得电脑主机的最高权限,接着在脑主机的最高权限,接着在ATM硬盘内植入恶意程序硬盘内植入恶意程序,再派出外籍嫌犯入境台湾盗领现金。04特权管理问题-1孟加拉央行失窃事件孟加拉央行失窃事件在2月一个再普通不过的宁静早晨,黑客使用正确口令,通过SWIFT系统冒充孟加拉央行向纽约联储发出指令,而纽约联储随后将巨额资金汇到了菲律宾。虽然由于黑客拼写错误和纽约联储未全部执行转账要求而避免了更大的损失,但是这次“打劫央行”的故事依然被人津津
8、乐道。黑客攻入孟加拉央行系统窃取其黑客攻入孟加拉央行系统窃取其转移支付的安全证书转移支付的安全证书,之后通过SWIFT电文对孟加拉央行在纽联储的账户进行转账交易,纽联储发现转账巨款流入的是个体账户,向孟加拉发出警告,但未进行其他有效措施对交易进行审核,而完成了转账交易,造成孟加拉央行8100万美元被窃取。05特权管理问题-206特权管理问题-307特权管理问题-4据初步调查,4月12日下午4:30到5点之间,某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件。这里面表明了该企业安全工作的纰漏,或者说是失误。首先,对于这种权限管理,
9、要管理到人,严格限制非常小的范围。并且,需要通过联合密码等方式来保证权限的实施不是一个人可以决定的,虽然不能避免合谋的情况,但是至少应该有这个考虑;另外,权限使用的审计也需要加强,根据这个事件来看,应该要能够在第一时间来确定是谁的帐号出现了问题,实施了什么操作,从而快速定位到责任人,或者定位到责任人有可能在什么情况下被别人盗用帐号;韩最大银行遭遇黑客 农协银行5千分行电脑瘫痪2011年4月19日电据新加坡联合早报报道,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。韩国农协银行有约5000家分行,是韩国境内最大的银行网络。本月12日,该银
10、行电脑网络开始出现故障,客户无法提款、转账、使用信用卡和或取得贷款。三天后,农协银行才恢复部分服务;但截至昨天,一些服务包括预借现金服务仍尚未恢复。到目前为止,农协银行接获大约31万名客户的投诉,另外还有将近1000人要求银行赔偿。2014年1月韩国史上最大规模(1亿条)的信用卡信息泄露事件08社保数据安全堪忧09APT攻击正在瞄准关键行业通过深入跟进、分析台湾第一银行事件、孟加拉国央行等事件,我们发现针对金融行业的网络攻击已经开始进化,攻击者的目标不在限于普通终端用户,而逐渐瞄准金融机构本身。另外这几次针对银行等金融机构的攻击幕后或者其攻击手法都是APT组织或者利用了APT攻击方法,这说明A
11、PT组织开始进行针对商业的攻击,而且会使用APT方法来进行商业类攻击。APT攻击的关键目标就是特权账号 备受期待的威瑞森2016年度数据泄露报告(DBIR)终于出台。今年的报告在67家贡献合作伙伴支持下编译完成,包含了对82个国家,超过10万起安全事件和2260起已证实数据泄露事件的分析。1、毫无意外,威瑞森及其合作伙伴在2015年调查的大量数据泄露事件中表示,人的因素是其中最弱的一环。2、在2260起已证实数据泄露事件的分析过程中,可以确定,63%都涉及到弱口令、默认口令或被盗口令。完整报告下载链接:http:/106.186.118.91/201605/2016_data_breach_i
12、nvestigations_report_verizon.pdf3、95%的安全漏洞均可以追溯到身份访问凭据被盗,而另外则有10%是由可信人员滥用身份访问凭据所导致的。2015年度数据泄露报告10电信诈骗折射数据泄露严重 建立特权账户管理依旧是全球企业关注的焦点。Gartner称,到2018年,25%的企业都将审核特权活动并将数据泄露事件减少33%。特权账户管理(PAM)是最受企业欢迎的一个安全解决方案。Gartner在报告中写道:“2015年仅有少于5%的企业跟踪、审查特权活动。其余的企业最多在特权活动发生时控制并记录了时间,地点及人物,但它们并未关心真正发生了什么。除非企业跟踪并审核特权活
13、动,企业都将遭遇内部威胁,恶意用户或会导致重要中断的错误的风险。企业应该将IT环境中所有权限级别超越标准用户的特权账号列入清单中。经常扫描IT基础设施以发现拥有过量权限的新账户是企业安全的最佳做法。Gaehtgens说:“对于那些快速变化的动态环境(如大规模使用虚拟化技术或包含云基础设施的混合IT环境),这点更加重要。企业应该通过使用一些PAM供应商提供的免费自动搜索工具来自动发现IT设施内未受管理的系统及账号,但即使是这样的自动搜索工具也无法发现所有的异常。”列下所有特权访问账户的清单并分配所有权不要共享共享的帐户密码尽量减少个人及共享特权帐户的数量建立共享帐户使用管理的流程及控制方法为常规
14、(非特权)访问的用户提供权限提升Analyst(s):Felix Gaehtgens,Anmol Singh 27 May 2015 11Gartner对特权管理的建议信息安全等级保护相关监管要求信息安全等级保护相关监管要求应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度,应记录审批过程并保存审批文档。身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令应有复杂度要求并定期更换。应授予不同帐户为完成各自承担任务所需的最小权限最小权限,并在它们之间形成相互制约的关系。应及时删除多余的、过期的帐户,避免
15、共享帐户的存在避免共享帐户的存在。应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监全程陪同或监督督,并登记备案。等保监管信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GBT 22239-2008)等保监管由系统控制的敏感数据,如口令、密钥等,不应在未受保护的程序或文档中以明不应在未受保护的程序或文档中以明文形式存在。文形式存在。系统应提供一种机制,能按时间、进入方式、地点、网络地址或端口时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进入系统哪些用户能进入系统 数据库管理系统安全技术要求(数据库管理系统安全技术要求(GBT 20273-2006)12合
16、规性的要求-等级保护特权安全管理解决方案 0201内部成为网络安全新的战场90%以上的企业曾经被入侵以上的企业曾经被入侵过去:“在网络边界我们有强大的保护系统”如今:“恶意软件无孔不入,很容易穿透边界防火墙、入侵防御系统”信息安全的交锋转移到内网信息安全的交锋转移到内网据统计超过35%的信息泄露是内部的问题黑客们凭借盗用的凭据掩藏身份,扮演为合法的内部使用人员特权账户的审计和合规特权账户的审计和合规特权账户顾名思义:拥有访问最敏感最有价值的数据的权限品牌、信誉以及客户的信任度等企业的无价之宝受到信息泄露的牵连$280亿美金花费在网络安全上亿美金花费在网络安全上超过9成的企业仍然被攻破02边界始终被攻破Mandiant,M-Trends and APT1 Report 20142014“100%的信息泄露都涉及到了凭据丢失“高级持续性威胁APT首先尽各种可能找到可以利用的特权账号,例如:域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。03获取特权凭证是黑客必要条件无线路由器、智能电视、机顶盒、摄像头特权账号盗用特权账号盗用笔记本、平板电脑、智能手机发电厂、工厂路由
