特权账号管理权限解决课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《特权账号管理权限解决课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 特权 账号 管理权限 解决 课件
- 资源描述:
-
1、特权账号管理解决方案目录contents特权安全管理背景01特权安全解决方案02特权管理场景及案例03特权安全管理背景 01蔡淑妍,2016年7月19日被骗9800元,留遗书溺亡徐玉玉,2016年8月19日被骗9900元,郁结于心离世宋振宁,2016年8月18日被骗2000元,导致猝死01电信诈骗致死三名大学生02新兴的网络攻击已出现-1美国大规模断网调查:病毒感染中国产监控设备,百万设备无法修复美国大规模断网调查:病毒感染中国产监控设备,百万设备无法修复黑客在本周五(10 月 21 日)通过互联网控制了美国大量的网络摄像头和相关的 DVR 录像机,然后操纵这些肉鸡攻击了美国的多个知名网站,包
2、括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。据了解,黑客们使用了一种被称作物联网破坏者的 Mirai 病毒来进行肉鸡搜索。更为致命的是,Mirai 病毒的源代码在 9 月的时候被开发者公布,致使大量黑客对这个病毒进行了升级,传染性、危害性比前代更高。Mirai 病毒是一种通过互联网搜索物联网设备的一种病毒,当它扫描到一个物联网设备(比如网络摄像头、智能开关等)后就尝试使用默认密码进行登陆(一般为 admin/admin,Mirai 病毒自带 60 个通用密码),一旦登陆成功,这台物联网设备就进入肉鸡名单,开始被黑客操控攻击其他网络设备。根据国外网站
3、 KerbsonSecurity 的调查,导致大规模断网事件的原因绝非我们想象的那么简单,其背后暴露出物联网设备的重大安全隐患。据报道,一共有超过百万台物联网设备参与了此次 DDoS 攻击。其中,这些设备中有大量的 DVR(数字录像机,一般用来记录监控录像,用户可联网查看)和网络摄像头(通过 Wifi 来联网,用户可以使用 App 进行实时查看的摄像头)。而据安全公司的数据显示,参与本次 DDoS 攻击的设备中,主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用,在美国大量销售。世界首例 乌克兰大停电证实是遭黑客入侵电影中经常有黑客入侵电力系统,
4、导致整个城市或甚至国家停电的剧情,虽然好莱坞编剧们“互相参考”之下,这种剧情写得好像理所当然,不过在现实世界中,尽管电厂与电力设施每天都遭到黑客攻击,成功导致大规模停电的例子原本其实一件都没有,直到 2015 年 12 月,乌克兰才首开纪录。2015 年 12 月 23 日,乌克兰电力网络受到黑客攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电,1 个月后,安全专家表示,证实这起停电是遭到黑客以恶意软件攻击电网所造成,2016 年 1 月 4 日时,安全公司 iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码,由于过去从来未曾有黑客攻击造成电网大规模停电的纪录,iSigh
5、t Partners 认为这起攻击是电网资安史上的里程碑。乌克兰相关单位怀疑可能是俄罗斯在背后发动这起攻击,俄罗斯先前用木马软件 BlackEnergy 攻击乌克兰政府相关机构,乌克兰方面认为这次停电也可能是俄罗斯国安当局使用 BlackEnergy 对乌克兰进行的攻击,不过尚未有足够证据显示攻击是由 BlackEnergy 或是俄罗斯单位所发动。过去电力网络遭入侵时,因为各系统的软硬件规格不同,系统环境破碎之下,黑客很难发挥太大影响,大多数攻击都被视为根本不值一提,连向上回报的必要都没有,但乌克兰如今证实黑客造成大停电的电影情节有可能成真,各国电力系统管理当局可得更绷紧神经了。03新兴的网络
6、攻击已出现-2台湾第一银行台湾第一银行ATM机黑客盗领案机黑客盗领案2016年7月中,我国台湾地区的台湾第一银行旗下20多家分行的41台ATM机遭遇黑客攻击,被盗8327余万新台币。360追日团队对这起针对ATM机的黑客攻击盗窃事件进行了分析,还原了整个事件的过程,分析了黑客攻击手法和过程,并据此提供了安全建议。7月4日,入侵者仿冒更新软件并下发至第一银行各ATM,开启ATM远程控制服务(Telnet Service)。直到7月9日入侵者再远程登录,上传ATM操控程序后,远程遥控进行吐钞,由各就各位的“钱骡”领取赃款。完成盗领后,远程操控者再将隐藏控制程序、纪录文档、执行文档全部清除。办案人员
7、同时查出,对第一银行ATM下达吐钞指令的恶意程序,竟来自第一银行英国伦敦分行电脑主机和2个存储电话录音的硬盘,其中一个已经损毁。据判断,犯罪集团先黑入录音硬盘,取得犯罪集团先黑入录音硬盘,取得电脑主机的最高权限,接着在电脑主机的最高权限,接着在ATM硬盘内植入恶意程序硬盘内植入恶意程序,再派出外籍嫌犯入境台湾盗领现金。04特权管理问题-1孟加拉央行失窃事件孟加拉央行失窃事件在2月一个再普通不过的宁静早晨,黑客使用正确口令,通过SWIFT系统冒充孟加拉央行向纽约联储发出指令,而纽约联储随后将巨额资金汇到了菲律宾。虽然由于黑客拼写错误和纽约联储未全部执行转账要求而避免了更大的损失,但是这次“打劫央
8、行”的故事依然被人津津乐道。黑客攻入孟加拉央行系统窃取其黑客攻入孟加拉央行系统窃取其转移支付的安全证书转移支付的安全证书,之后通过SWIFT电文对孟加拉央行在纽联储的账户进行转账交易,纽联储发现转账巨款流入的是个体账户,向孟加拉发出警告,但未进行其他有效措施对交易进行审核,而完成了转账交易,造成孟加拉央行8100万美元被窃取。05特权管理问题-206特权管理问题-307特权管理问题-4据初步调查,4月12日下午4:30到5点之间,某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令,该命令会删除服务器上的所有文件。这里面表明了该企业安全工作的纰漏,或者说是失误。首
9、先,对于这种权限管理,要管理到人,严格限制非常小的范围。并且,需要通过联合密码等方式来保证权限的实施不是一个人可以决定的,虽然不能避免合谋的情况,但是至少应该有这个考虑;另外,权限使用的审计也需要加强,根据这个事件来看,应该要能够在第一时间来确定是谁的帐号出现了问题,实施了什么操作,从而快速定位到责任人,或者定位到责任人有可能在什么情况下被别人盗用帐号;韩最大银行遭遇黑客 农协银行5千分行电脑瘫痪2011年4月19日电 据新加坡联合早报报道,紧接在韩国现代资本公司之后,韩国农协银行也疑遭电脑黑客袭击,其电脑网络瘫痪了三天,数以万计的客户受影响。韩国农协银行有约5000家分行,是韩国境内最大的银
10、行网络。本月12日,该银行电脑网络开始出现故障,客户无法提款、转账、使用信用卡和或取得贷款。三天后,农协银行才恢复部分服务;但截至昨天,一些服务包括预借现金服务仍尚未恢复。到目前为止,农协银行接获大约31万名客户的投诉,另外还有将近1000人要求银行赔偿。2014年1月韩国史上最大规模(1亿条)的信用卡信息泄露事件08社保数据安全堪忧09APT攻击正在瞄准关键行业通过深入跟进、分析台湾第一银行事件、孟加拉国央行等事件,我们发现针对金融行业的网络攻击已经开始进化,攻击者的目标不在限于普通终端用户,而逐渐瞄准金融机构本身。另外这几次针对银行等金融机构的攻击幕后或者其攻击手法都是APT组织或者利用了
11、APT攻击方法,这说明APT组织开始进行针对商业的攻击,而且会使用APT方法来进行商业类攻击。APT攻击的关键目标就是特权账号 备受期待的威瑞森2016年度数据泄露报告(DBIR)终于出台。今年的报告在67家贡献合作伙伴支持下编译完成,包含了对82个国家,超过10万起安全事件和2260起已证实数据泄露事件的分析。1、毫无意外,威瑞森及其合作伙伴在2015年调查的大量数据泄露事件中表示,人的因素是其中最弱的一环。2、在2260起已证实数据泄露事件的分析过程中,可以确定,63%都涉及到弱口令、默认口令或被盗口令。完整报告下载链接:http:/106.186.118.91/201605/2016_d
12、ata_breach_investigations_report_verizon.pdf3、95%的安全漏洞均可以追溯到身份访问凭据被盗,而另外则有10%是由可信人员滥用身份访问凭据所导致的。2015年度数据泄露报告10电信诈骗折射数据泄露严重 建立特权账户管理依旧是全球企业关注的焦点。Gartner称,到2018年,25%的企业都将审核特权活动并将数据泄露事件减少33%。特权账户管理(PAM)是最受企业欢迎的一个安全解决方案。Gartner在报告中写道:“2015年仅有少于5%的企业跟踪、审查特权活动。其余的企业最多在特权活动发生时控制并记录了时间,地点及人物,但它们并未关心真正发生了什么。
13、除非企业跟踪并审核特权活动,企业都将遭遇内部威胁,恶意用户或会导致重要中断的错误的风险。企业应该将IT环境中所有权限级别超越标准用户的特权账号列入清单中。经常扫描IT基础设施以发现拥有过量权限的新账户是企业安全的最佳做法。Gaehtgens说:“对于那些快速变化的动态环境(如大规模使用虚拟化技术或包含云基础设施的混合IT环境),这点更加重要。企业应该通过使用一些PAM供应商提供的免费自动搜索工具来自动发现IT设施内未受管理的系统及账号,但即使是这样的自动搜索工具也无法发现所有的异常。”(1)列下所有特权访问账户的清单并分配所有权(2)不要共享共享的帐户密码(3)尽量减少个人及共享特权帐户的数量
14、(4)建立共享帐户使用管理的流程及控制方法(5)为常规(非特权)访问的用户提供权限提升Analyst(s):Felix Gaehtgens,Anmol Singh 27 May 2015 11Gartner对特权管理的建议信息安全等级保护相关监管要求信息安全等级保护相关监管要求应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度,应记录审批过程并保存审批文档。身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换口令应有复杂度要求并定期更换。应授予不同帐户为完成各自承担任务所需的最小权限最小权限,并在它们之间
15、形成相互制约的关系。应及时删除多余的、过期的帐户,避免共享帐户的存在避免共享帐户的存在。应确保在外部人员访问受控区域前得到授权或审批,批准后由专人全程陪同或监全程陪同或监督督,并登记备案。等保监管信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GBT 22239-2008)等保监管由系统控制的敏感数据,如口令、密钥等,不应在未受保护的程序或文档中以明不应在未受保护的程序或文档中以明文形式存在。文形式存在。系统应提供一种机制,能按时间、进入方式、地点、网络地址或端口时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进入系统哪些用户能进入系统 数据库管理系统安全技术要求(数据库管理
16、系统安全技术要求(GBT 20273-2006)12合规性的要求-等级保护特权安全管理解决方案 0201内部成为网络安全新的战场90%以上的企业曾经被入侵以上的企业曾经被入侵过去:“在网络边界我们有强大的保护系统”如今:“恶意软件无孔不入,很容易穿透边界防火墙、入侵防御系统”信息安全的交锋转移到内网信息安全的交锋转移到内网据统计超过35%的信息泄露是内部的问题黑客们凭借盗用的凭据掩藏身份,扮演为合法的内部使用人员特权账户的审计和合规特权账户的审计和合规特权账户顾名思义:拥有访问最敏感最有价值的数据的权限品牌、信誉以及客户的信任度等企业的无价之宝受到信息泄露的牵连$280亿美金花费在网络安全上亿
17、美金花费在网络安全上超过9成的企业仍然被攻破02边界始终被攻破Mandiant,M-Trends and APT1 Report 20142014“100%的信息泄露都涉及到了凭据丢失“高级持续性威胁APT首先尽各种可能找到可以利用的特权账号,例如:域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。03获取特权凭证是黑客必要条件无线路由器、智能电视、机顶盒、摄像头特权账号盗用特权账号盗用笔记本、平板电脑、智能手机发电厂、工厂路由器、防火墙、Hypervisors、数据库、业务系统路由器、防火墙、服务器、数据库、业务系统攻击者能够攻击者能够:绕开安全控制和监控访问设备上的全
18、部数据、干扰设备的正常运维造成物理破坏04特权是通往数据中心的命门技术的挑战可视性不佳管理困难缺少控制很难看到存在什么账户,谁在使用这些账户很难保障特权密码的安全无法看到谁在用哪个帐号在做什么,没法控制特权账户的权限业务影响数据外泄风险审计失败和罚款的风险特权账户使用静态密码,对账户缺乏管理、监控方法,企业容易遭受攻击很多法规要求企业管理特权账号密码并监控特权账户使用05特权的管理挑战 06数据中心到底有多少特权账号操作系统ZOS/UNIX/Linux/WIN/AD安全设备网络设备数据库DB2/Oracle/MSSQLTeradata应用部署应用后台中间件WebSphere,WebLogic系
19、统服务脚本应用内嵌的账号虚拟化管理软件Windows的Cluster服务、计划任务、中都需要绑定域账号网络、安全设备中的root或者enable账号内部管理软件比如备份,监控等系统的管理员账号07国内主流解决方案07复杂的内部关系基础技术平台主动管控组件特权威胁分析HaiYi-PAS 为特权用户的身份管理和访问控制提供一体化的解决方案。企业密码保险库特权会话管理应用身份管理按需分配特权管理WEB门户主策略管理器安全数字保险库特权威胁分析保护监控响应SSH Key 管理账号扫描引擎动态数据脱敏08HaiYi-PAS完整解决方案09特权的全生命周期管理审批审批流程流程安全安全策略策略访问访问账号账
20、号报告报告访问访问 控制控制账号账号 采集采集提供使用提供使用DR服务器服务器PROVIDER邮件服务器邮件服务器动态口令服务器动态口令服务器电子签名电子签名同步同步账号管理账号管理访问控制访问控制目标设备目标设备Telnet|SSH|RloginFTP|SFTP|Win Term应用系统应用系统网络设备网络设备数据库数据库主机主机生命周期生命周期密码密码账号账号非法账号非法账号日志日志/审计审计会话控制会话控制访问控制访问控制命令控制命令控制管理员管理员员工员工第三方第三方离职员离职员工工基础认证基础认证多因素认证多因素认证外部认证外部认证OTPPKIBioSmart CardLDAPSSO
21、RADIUS单一用户界面单一用户界面认证认证用户用户。ID/PWIP/MAC。HaiYi PASHaiYi PAS应用内嵌特权应用内嵌特权密码和SSH密钥专业的数字保险库锁定所有特权账户防止恶意软件监控特权会话对被盗用的特权账户采取及时措施例如自动实时更改密码以避免更多损失特权会话隔离和控制持续监控特权行为并发出报警全面覆盖任何层面的特权账户覆盖任何特权账号10统一界面、统一流程11访问管理访问管理&身份管理身份管理 使用直观的统一用户界面、统一流程,强调用户便捷性.现状现状未来未来 控制不同设备上的账号&权限 基于工作流的自动账号控制 导入HR数据自动删除离职员工 密码变更和管理策略 手工账
22、号管理浪费资源 多系统 管理导致复杂化 没有账号使用状态信息 没有密码策略管理难以管理难以管理用户用户用户用户用户用户管理员管理员审批系统审批系统用户用户账号账号请求请求管理员管理员直观直观&易于使用易于使用的系统的系统手工账号管理手工账号管理账号账号 请求请求LINUX/UNIX Windows 数据库网络设备 应用系统设备设备设备设备LINUX/UNIX Windows 数据库网络设备 应用系统设备设备批准或拒绝批准或拒绝密码安全策略管理密码安全策略管理闲置闲置/非法非法账号管理账号管理统一账号统略管理统一账号统略管理账号集中管理账号集中管理账号统一账号统一管理管理HaiYi PAS特权账
23、号的管理趋势12 账号自动收集与同步 HR 同步 账号管理(创建/变更/删除)密码管理服务 批量账号管理账号授权/变更请求系统账号的收集与疏理管理员定义强制的密码策略用户用户 账号账号应用应用管理员审批管理员审批收集收集供给供给不同系统的账号不同系统的账号自动自动/手工手工密码变更密码变更管理员定义管理员定义账号策略账号策略离职员工离职员工HR 数据同步数据同步Life-cycle创建账号创建账号收集账号收集账号变更账号变更账号删除账号删除账号13账号集中管理 密码更新频率管理 密码更新历史管理更新历史报告更新历史报告密码自动管理密码自动管理符合隐私政策规范符合隐私政策规范提高工作效率提高工作
展开阅读全文