特权账号安全管理解决方案，浅谈那些”一人之下，万人之上“的特权账号！

数据中心存在的问题

我们关注数据中心安全

建立集中的数据中心安全运营管理，向云模式靠拢

• 逻辑上将人与目标设备分离，全局唯一身份标识，隐藏设备管理帐号密码；
• 将数据包围在数据中心，离线数据以脱敏或加密的方式存在；
• 通过实施海颐信息安全体系转变传统IT安全的被动响应模式，建立面向用户的集中、主动的安全管控模式；

典型数据中心安全视图

国内外安全事件层出不穷

• 韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露，，最多的用户有19项个人信息被泄露了，多名高管因此事引咎辞职。
• 携程被爆安全支付日志可遍历下载，因此导致大量用户银行卡信息泄露，其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。
• 欧洲中央银行遭到网络攻击，匿名黑客攻破了该行公开的外部网站的数据库，窃取了该行网站上1.5亿注册者的电子邮件和联络人的细节信息。电子邮件、部分街道地址和电话号码在内的部分未加密数据被利用。
• 美国家得宝公司确认其支付系统遭到网络攻击， 将近有5600万张银行卡的信息被盗，这比去年发生在Target的客户银行卡数据被盗事件还要严重。
• 摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一 。

安全威胁之APT

APT全称：

Advanced Persistent Threat

APT（高级持续性渗透攻击）简述：

APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击；是一种以商业和政治目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特点；

APT攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇，因此也无法通过阻止一次攻击就让问题消失。

RSA SecurID窃取案例：

2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击，重要资料被窃取。

1. 攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011 Recruitment plan.xls”；
2. 在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。
3. 其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的 Adobe Flash的0day漏洞（CVE-2011-0609）命中；
4. 该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；
5. 首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；
6. RSA发现开发用服务器（Staging server）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；

APT攻击最终的目标就是特权账号

获取凭据是黑客成功的必要条件

• 100% 的泄露都涉及到了凭信息据丢失
• 高级持续性威胁APT首先尽各种可能找到可以利用的特权账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。

新的网络战场:在你的内网中

超过90％的企业已经及发生过安全事件

由“我可以在外围停止一切网络攻击” 战略性变为“我不能停止一切在外围的网络攻击。”

70％是内部安全事件 - 以及是最昂贵的

要防止恶意和意外的内部人員

信息安全的重点转移到了内部网络

• 关键资产的主动防护
• 实时检测正在进行的攻击

一旦被入侵，所有路向都会通住特权帐号

4大关键步骤预防APT

• 先把企业内的特权帐号找出来
• 然后把特权帐号妥善地保护及管理比如最小权限控制、职责分离等
• 控制，隔离和监测对于目标服务器和数据库上的特权访问
• 使用对特权帐号的实时分析，预警和响应到正在进行的攻击

数据中心到底有多少账号

• Windows的Cluster服务、计划任务、中都需要绑定域账号
• 网络、安全设备中的root或者enable账号
• 内部管理软件比如备份，监控等系统的管理员账号

特权账号管理要求

账号管理最佳实践 – 要点与难点

强化账号一次一密

• 使用后N小时过期
• 随机密码，无人知晓，防暴力破解

高频度账号回顾与梳理

• 每天梳理数据中心的账号列表，审查不合规密码
• 安全控制团队进入审查常态化，智能化

管理范围全面

• 管理类账号、应用内嵌类账号
• 不同管理接口：zos,ssh,odbc,http,win等

账号使用作严格控制

• 双因素认证
• 双人会同、分段发放、不允许知晓密码
• 变更管理

账号使用监控

• 监控访问会话
• 操作录像与命令行回溯

账号最小权限原则

• 尽量减少使用特权
• 特定任务不允许使用特权，或将所需特权剥离出

解决方案思路

1、把用户作为一种特殊而关键的资产，具有资产属性特征的生命周期；

2、建立统一的安全管理机制，逐步覆盖所有重要用户，实现对用户从生成到注销的全生命周期监控与审计；

3、利用PDCA思想，建立整个生命周期管理过程，覆盖特权账号管理的各个环节。（计划、执行、检查、行动）

特权账号的主动保护，监控，响应

• 主动保护 - 只有授权的用户可以使用 - 责任到人 - 权限最小化
• 定向监控 - 24小时不间断地监控 - 特权账号恶意行为检测 - 高风险活动报警
• 实时响应 - 特权会话终止 - 特权账号使用情况可以做为证据

1. 建立用户台账；
2. 安全责任落实；
3. 自动策略合规；
4. 操作全程监控；
5. 快速审计溯源；
6. 特权威胁分析；

建立特权用户台账

主要提供以下功能：

1. 用户自动发现（资产盘点）
2. 用户列表（资产清单）
3. 用户变更报告（资产变化）
4. 可视化用户分布图（资产位置）

安全责任落实

主要提供以下功能：

1. 统一门户，单点登录，防止绕行；
2. 责任到人：主账号与自然人的唯一性关联，确保责任落实；
3. 责任变更：随同人员岗位变更、工作职责变更、离职等情况，用户进行相应变更或回收。

自动的策略合规性

主要提供以下功能：

1. 密码进行集中托管，使密码远离滥用泄露；
2. 密码进行自动更改，满足安全和合规要求；
3. 关键操作实现双人会同，分段密码；
4. 所有密码操作留痕，满足合规性审计要求；
5. 用户权限应用级命令级细粒度管理，实现权限最小化

操作全程监控

主要提供以下功能：

1. 操作会话从建立到中断被全程监控，并有详细操作留痕；
2. 实时监控，高危命令告警与提示；
3. 无论命令行还是图形界面操作，都可以细化到命令级别的日志记录；
4. 对于脚本执行操作，识别并记录脚本中的命令；
5. 对操作的录像记录要进行细化分段，以利于审计；

快速的溯源

主要提供以下功能：

1. 防篡改的详细审计日志
2. 能够通过关键字段快速地查找到相关的日志记录和操作录像；
3. 支持丰富的自定义审计报告和图形展现。

特权账号安全管理方案架构

系统逻辑架构图

强大的目标支持能力