对于那些习惯于每天晚间新闻捕捉的人来说,每一天似乎都像是对前一天的重播:“巨大公司的重大数据突破,细节在11点。”然后您问自己:“这可能发生在我的组织中吗?”

好吧,如果您现在不采取适当的预防措施,它可以而且很可能会。确保对组织信息资源的强大访问控制可以防止当今发生的许多违规事件。更重要的是, 您必须控制对特权帐户的访问。 这些帐户管理组织中最重要的信息资产。如果使用不当,您的特权帐户将构成最大的威胁。

最具破坏性的网络攻击发生在特权凭证被盗后,从而使攻击者获得与管理您的信息系统的内部员工相同的访问级别。这使您的组织受制于攻击者的恶意意图。

特权凭证安全性和合规性

安全地管理特权密码对于控制对最关键帐户的访问至关重要。 特权密码安全 (也称为特权密码管理)是一种密码管理,用于保护拥有更高安全性特权的登录ID的凭据。

如今,实施和实施密码保护政策非常重要,不仅可以防止未经授权的访问,而且还可以满足越来越多的合规性要求。组织的合规性,法规和内部驱动力将根据其特定的行业和市场而有所不同。影响许多组织的一些重要法规包括(仅举几例):

  • 萨班斯·奥克斯利(SOX),如果在美国开展业务,这会影响到美国乃至国际上的所有上市公司。 SOX审核着重于企业如何确保和确保财务信息和披露的完全准确性。
  • 支付卡行业数据安全标准(PCI-DSS) –尽管不是政府驱动的法规,PCI-DSS在存储,处理和/或传输持卡人数据的组织之间执行标准。
  • 格拉姆-里奇·布莱利法案(GLBA) 要求“金融机构”为客户数据提供足够的保护。

更新特权密码管理做法以应对现代威胁

尽管多年来一直在关注特权凭证的保护,但是传统的密码安全性做法是手动的且不成熟的。使用的一些常见的早期密码管理策略包括:

  • 物理存储和控制密码。 我记得有什么特权密码写在纸上,密封在信封中,并保存在保险箱中,并由管理员控制访问。这种基于流程的解决方案被称为“ firecall ID”。
  • 使用应用程序存储和控制密码。 特权密码在需要之前存储在excel文档,Word文档或数据库中。

这些方法存在一些明显的问题。信封法无法扩展,完全是手动的,需要一个过程来确保维持准确的库存。基于应用程序的解决方案并非为信任和问责而设计,而遭受了与存储和访问相关的安全问题。

接下来,出现了许多基于商业技术的解决方案:

  • 身份管理解决方案,它试图通过允许技术创建单个证书到多个证书的映射来减少您需要管理的密码数量。但是,这些解决方案无法解决共享管理帐户问题。由于共享帐户不是任何人“拥有”的,因此无法减少所需ID的数量。
  • 自助密码重置工具, 试图允许用户使用已知密码重设未知密码。假设这可以解决共享管理帐户问题,因为管理帐户可以在需要时生成新密码。但是,这种方法要求目标系统在具有网络可访问性的正常多用户模式下运行。在许多情况下,需要共享的管理帐户来还原已停止正常运行的系统。
  • 密码存储工具 可以替代信封,但是不能解决在目标系统上管理帐户的问题。在解决部分问题的同时,他们消除了更新和管理目标帐户所需的大多数手动过程。

保护特权密码的6条提示

在今天要确保对特权凭证的可靠保护时,请应用以下六个技巧:

提示1:使用两要素身份验证(2FA)或多因素身份验证(MFA)

密码是身份验证的单一因素。密码保护的帐户或信息的类型应确定您可能需要哪些其他安全控制。对于特权帐户,应始终将MFA的2FA与密码一起使用。

秘诀2:打造长久坚强的人& Complex Passwords

密码的强度归结为有人可以使用以下方式轻易猜出您的密码 蛮力或破解攻击。因此,在创建密码时,请使其唯一且不容易猜测。密码至少要包含8个字符,但越长越好。另外,我建议您考虑使用密码短语,密码短语是您所知道的单词和只有少数特殊字符(例如?%)的组合&@!),而不是密码。结合使用2FA的长密码短语将是对您帐户的最佳保护。有关如何创建可靠的特权凭证的更多规则,查看此信息图.

提示3:使用密码管理器

如果要保护的帐户和密码很多,则应使用密码管理器来保护它们。密码管理器可帮助跟踪每个密码的使用期限,让您知道已应用了哪些其他安全控制,并有助于为所有帐户生成复杂的密码。使用密码管理器,您只需要记住一个强密码即可。

秘诀4:使用加密功能而不信任任何人

即使您使用强密码或密码短语,对关键信息进行加密仍然是负责任的安全做法。另外,请勿信任任何人的密码。即使是最受信任的个人也可能搞砸。

提示5:密码年龄

建立密码的定期轮换周期。系统密码的最佳做法是: 旋转密码
根据需要频繁。密码管理可让您轻松地自动执行此过程。我的建议是将密码至少旋转6到9个月。但是,密码越敏感,应该越频繁地旋转它。

提示6:使用特权密码管理解决方案

最后,这是我给您的最重要提示。用 特权密码管理解决方案,您可以创建,共享和自动更改企业密码。您可以在任何级别分配用户权限,并通过完整的审核报告跟踪密码使用情况。 特权账户管理,也称为PAM,可用于改善对漏洞评估,IT网络清单扫描,虚拟环境安全性,身份管理和管理以及行为分析的了解。如果您密切关注特权帐户的安全性,则将能够以最有效的方式保护组织。

最后的想法

随着合规性法规和审计的不断扩大,对于特权帐户和密码的管理和控制,手动或流程驱动的解决方案的容忍度变得越来越站不住脚。 PAM系统无疑将使您的组织更安全。立即执行此操作,因为这确实是何时出现问题—如果不是-您的特权帐户将被盗用。

要深入了解特权密码管理的基础知识,请观看我的按需观看 网络研讨会: 特权密码管理101:为成功奠定基础

Source://www.bomgar.com/blog