没有人愿意 响应 安全事故或违规行为。相反,最高优先级应该是阻止网络威胁 之前 它损害了组织。但是实际上,防止网络攻击登陆并非总是可能的。识别事件或违规的步骤-从 威胁搜寻 寻找明确的危害指标(IoC)的方法已经建立。尽管各个组织的过程各不相同,但是,作为任何正式清理计划的一部分,都需要解决恶意软件,受感染的帐户,横向移动等问题。

如果破坏严重到极致(例如,包括对域控制器的破坏),组织可能别无选择,只能从头开始重新安装整个环境。虽然这是最坏的情况,但确实会发生。在许多情况下,与执行完全重新安装相比,企业可能会选择尽可能最好地清理服务器。那是基于风险,可行性和成本的业务决策。如果威胁是使用技术逃避传统识别措施的持续存在,那么这也代表了双赢的局面。如果您认为这是牵强的,那就看看Rootkit等威胁的历史, 幽灵 和  崩溃 证明总有一种攻击技术资源的方法。

威胁参与者会追随您的凭据

无论您采用何种补救策略,都可以确信,威胁行为者可以通过某种方式来访问您的凭据。这意味着任何清理工作 不应重复使用任何现有密码 或键。如果可能,您应该在每个受影响或链接的资源上更改(轮换)所有凭据。这是哪里 特权访问管理(PAM) 发挥作用。需要保护清除或重新部署,以防止密码重用或 威胁演员 因贫穷而重新获得持久存在 凭证管理 随着补救工作的开始。

密码管理 是PAM的核心方面,包括自动启用,轮换,会话管理,报告以及从密码保险箱中检入和检出密码。虽然PAM技术最主要用于特权密码,例如管理员,root,服务帐户和 开发运维 机密,也可以用作 最小特权解决方案 删除应用程序和任务的管理权限。这意味着最终用户将不再具有或不需要辅助管理员帐户来执行业务功能。

PAM如何在违规后帮助清理

因此,PAM如何帮助清除安全漏洞?

在发生安全事件或破坏安全性时,您首先需要调查并解决以下问题:

  • 确定哪些帐户被盗用并用于访问和横向移动。
  • 使用任何链接的,受到破坏的帐户确定状态和资源。例如,在资产x或应用程序y上遭到破坏的同一个帐户也用于资产d,e和f的资产a,b和c,因此它们都可以通信。
  • 识别并清除威胁参与者创建的任何非法或流氓帐户。
  • 识别并删除或分割任何影子IT,  物联网 ,或属于 网络攻击链 防范未来的威胁。
  • 分析遭到入侵的帐户,并确定执行其功能所需的最少特权。大多数用户和系统帐户不需要完整的域或本地管理员或root帐户。
  • 分析攻击者在数据泄露期间如何使用/访问数据。滥用特权帐户期间是否捕获到任何IoC数据?如果捕获到数据,是否有助于识别威胁?如果未捕获数据,请确定需要更改哪些内容,以监视将来特权帐户的滥用。在适当的情况下,这包括特权帐户的使用以及会话监视和击键记录。

这种分析并非无关紧要。需要工具来发现帐户,识别资源,确定使用方式,以及最重要的是标记任何潜在的滥用。即使将所有日志数据发送到SIEM,它仍然需要 相关性或用户行为分析 回答这些问题。

以下是PAM在违规后可以提供帮助的5种方法,应将其视为清理工作的重要组成部分:

  1. 发现之后 自动加入您的特权帐户 并强制使用独特且复杂的密码 自动旋转 每个。这将有助于确保任何持久性存在都不会反复利用被破坏的情况。
  2. 对于任何链接的帐户,请让您的PAM解决方案链接并定期定期将它们一起旋转;包括服务帐户。这将使帐户保持同步,并有可能与其他形式的密码重用隔离。
  3. 如果适用,从桌面一直删除不必要的特权帐户。这包括与身份相关联的所有辅助管理员帐户。对于任何需要管理权限的应用程序,命令或任务,请考虑 最小特权模型提升了应用程序–而不是用户-执行特权管理。
  4. 使用PAM,从命令或恶意用户行为中查找建议横向移动的IoC。这是网络攻击链中的关键部分,PAM可以在其中帮助确定是否已破坏任何资源。
  5. 应用程序控制 是针对恶意软件的最佳防御措施之一。此功能包括寻找 容易受到威胁的受信任的应用程序 通过利用各种形式的基于信誉的服务。 PAM也可以在这里提供帮助。在允许应用程序与用户,数据,网络和操作系统进行交互之前,请基于信任和已知风险确定应用程序的运行时。

特权访问管理不仅应考虑用于新项目和旧系统以停止特权攻击媒介,而且还应考虑对事件或破坏后的取证和补救控制进行考虑。 PAM将帮助阻止威胁行为者对组织内一些悬而未决的事物采取行动;不良的密码和凭据管理。

作为安全性最佳实践,应该始终限制特权访问。当威胁参与者获得管理员或根凭据时,他们确实拥有通往您的王国的密钥。目的是阻止他们经常获取它们并通过密码“重新键入”帐户,因此,即使他们窃取了密码,也可以限制其使用并监控潜在的滥用。因此,在发生事件或破坏之后,这有助于确保可以消除任何持久的持久存在,并代表清理和维护过程中的一种有价值的方法。

有关BeyondTrust的信息 集成特权访问管理平台联系我们 today.

Source://www.bomgar.com/blog