没有人愿意 回应 安全事件或违规行为。相反,最高优先级应该是阻止网络滑轨 前 它会妥协组织。但实际上,阻止着陆的网络攻击并不总是可能的。事件或违规识别的步骤 - 来自 威胁狩猎 寻找妥协(IOC)的明确指标 - 建立。虽然流程将因组织而变化,但是,恶意软件,受损账户,横向运动等都需要作为任何正式清理计划的一部分进行解决。

如果违规是严重的(例如,包括域控制器的妥协),组织可能无法从头开始重新安装整个环境。虽然这是一个最糟糕的情况,但它确实发生了。在许多情况下,企业可以选择尽可能地擦洗服务器与执行完全重新安装。这是基于风险,可行性和成本的商业决策。如果威胁是使用技术逃避传统识别措施的持续存在,它也代表了一个无赢的情景。如果您认为这是较远的,只需查看像rootkits这样的威胁历史, 幽灵, 和 崩溃 这证明了攻击技术资源总有一种方法。

威胁演员是凭证之后

无论您的修复策略如何,您都可以放心,通过某种方式或其他,威胁演员将可以访问您的凭据。这意味着任何清理努力 不应重用任何现有密码 或钥匙。如果可能,您应该在每个受影响的或链接资源上更改(旋转)所有凭据。这是哪里 特权访问管理(PAM) 发挥作用。需要保护或从密码重用或来自a的清理或重新部署 威胁演员 因穷人而恢复持续存在 凭证管理 随着修复努力开始。

密码管理 是PAM的核心方面,包括自动船上,旋转,会话管理,报告和入住,并从密码安全中查看密码。虽然PAM技术最突出地用于管理员,root,服务帐户等特权密码和 德沃斯 秘密,它也可以用作 最小特权解决方案 删除应用程序和任务的管理权限。这意味着最终用户将不再拥有或需要辅助管理员帐户来执行业务函数。

Pam如何在违规之后帮助清理

有了这个思想,Pam如何帮助安全违规清理?

在安全事件或违约期间,您首先需要调查和解决以下内容:

  • 确定哪些帐户受到损害并用于访问和横向运动。
  • 使用任何链接,受损的帐户确定存在和资源。例如,在资产X或应用程序Y中妥协的相同帐户也用于应用程序D,E和F的资产A,B和C,因此它们都可以进行通信。
  • 识别和清除由威胁演员创建的任何非法或流氓账户。
  • 识别和删除或分部,任何阴影, IOT.,或其他部分的资源 网络攻击链条 防止未来的威胁。
  • 分析已损害的帐户,并确定它们执行其功能所需的最少权限。大多数用户和系统帐户都不需要完整的域或本地管理员或root帐户。
  • 分析攻击者在违约期间使用/访问数据的方式。是否在滥用特权账户期间捕获的任何IOC数据?如果捕获了数据,它有助于识别威胁吗?如果未捕获数据,请确定需要更改以监控未来滥用特权帐户的需求。这包括特权账户使用情况以及适当的情况下的会话监视和击键记录。

这种分析不是微不足道的。需要工具来发现帐户,识别资源,确定使用模式,以及最重要的是,标记任何潜在的滥用。即使将所有日志数据发送到SIEM,它仍然需要 相关性或用户行为分析 回答这些问题。

以下是PAM在违规之后可以帮助的5种方式,并且应该被视为您的清理努力的重要组成部分:

  1. 在发现之后, 自动滚动您的特权帐户 并强制执行唯一和复杂的密码 自动旋转 每个人。这将有助于确保任何持续存在的存在无法反复耗尽损害。
  2. 对于任何链接的帐户,请将您的PAM解决方案链接链接并在定期的时间表上一起旋转它们;包括服务帐户。这将使帐户同步并可能与其他形式的密码重用隔离。
  3. 适用时,将不必要的特权帐户一直删除到桌面。这包括与身份关联的任何辅助管理员帐户。对于需要管理权利的任何应用程序,命令或任务,请考虑一个 最小特权模型提升了应用程序–不是用户 - 执行特权管理。
  4. 使用PAM,寻找建议横向移动的IOC,无论是来自命令还是流氓用户行为。这是Cyber​​Actack链的关键部分,其中PAM可以帮助识别任何资源是否受到损害。
  5. 应用程序控制 是针对恶意软件的最佳防御之一。这种能力包括寻找 受威胁威胁的可信应用程序 通过利用各种形式的基于信誉的服务。 Pam也可以在这里帮助。在允许与用户,数据,网络和操作系统互动之前,根据信任和已知风险决定应用程序的运行时。

特权访问管理不仅应考虑用于停止特权攻击向量的新项目和遗留系统,应考虑在事件或违规后进行取证和修复控制。 PAM将有助于阻止威胁演员在您组织内的一些最低悬挂的水果上行事;密码和凭证管理差。

作为一种安全最佳实践,应始终限制特权访问权限。当威胁演员获得管理员或root凭据时,他们确实有钥匙给你的王国。目标是阻止他们通过密码频繁地获取它们并“重新加注”帐户,因此即使他们窃取密码,也可以限制并监控其使用情况以潜在滥用。因此,在入射或违规之后,这有助于确保可以减轻任何挥之不去的存在并且可以在清理和维持过程中表示有价值的方法。

有关BeyiteTrust的信息 集成特权访问管理平台联系我们 today.

Source://www.bomgar.com/blog