一篇文章了解特权账户安全

保护特权账号安全对于减少攻击的影响至关重要。

对于每一个黑客而言，一般都有如下的典型攻击模式：收集攻击对象信息、嗅探以及发现攻击路径、对目标进行攻击并且获取接入权限、给自己的接入账号进行提权——当然，如果能直接获取特权账号就事半功倍了。因此，对于攻击者而言，在最初的攻击当中，目标都是获取尽可能高权限的账号，这样就能在目标系统中不受限地进行各种操作，达成自己的目的。同时，安全专家也估计，在他们进行调查的严重网络攻击事件中有80%到“几乎全部”都在攻击过程的某个环节利用了特权账户。

典型的保护特权账号安全的流程

可以发现，特权账号的保护是不得不注意的一点。在大部分企业对于信息的保护以及账号保护的方案，一般都基于以下几点：

对不同敏感度的信息分类，并且进行不同深度的保护。

对不同权限的账户，能查阅、修改不同的信息。

对账户进行各种认证保护。

这些措施都是非常正确，并且是必须实行的。但是，我们需要意识到的是，如果特权账户无法获得适当的保护，以上的保护可能都会被绕过变得形同虚设。

然而，绝大部分企业对特权账户的保护有以下几个很大的误区与问题：

对特权账户保护不够重视：正如之前说的一样，保护特权账户并不完全包含在对数据的分类保护、对账户的登录认证这些方面——尽管很多管理者那么认为。事实上，由于企业的IT环境在不断变化，特权账户的归属本身也在不断变化。当发生人事调动，以及使用了不同的系统时，特权账户的使用情况会发生变化，一旦不进行妥善处理，就会留下内部人员账户权限过大以及僵尸特权账号的问题，从而留下内部以及外部的安全隐患。

特权账户只是针对人的：也会有管理者认为特权账户的管理只是针对人员的，因此，只要从规范上对人进行足够的安全保护以及教育，就能做好特权账户的保护。事实上，特权账户的保护，除了与人相关，也与软件相关：不同的软件、应用、服务在相互之间交互的时候，也需要通过账户进行，因此对于企业在日常运营、开发过程中，也会产生各类特权账号。

不知道自己有多少特权账户：基于以上两点，大部分的企业很多时候对特权账户的管理是十分混乱的：他们不知道自己有哪些特权账户、这些特权账户都能做些什么、这些特权账户都在哪里。如今很多攻击者往往有极高的耐心，他们会静静地潜伏在企业的系统，甚至直接潜伏在企业中数周到数月，发现以及等待对特权账户的攻击机会——企业却不知道自己到底有哪些特权账户，那有如何发现以及防护自己的企业呢?

我们不需要那么多的防御：很多中小企业会认为：自己的IT系统没那么复杂、攻击者更倾向于攻击油水丰厚的大企业。结论则是，自己不需要那么多的安全防护。但是，攻击者是无孔不入的;而且，他们尤其喜欢中小企业——虽然看上去获得的利益没有大型企业那么多，但是因为很多时候中小企业对自身缺乏足够的安全防护，使得攻击更容易达成。而我们也在开头提到了，无论是从攻击者角度，还是从安全专家角度来看，获取特权账户是在攻击流程中几乎必然发生的一个环节。

我们该做什么?

特权账户的防御往往是保护数据泄露的最后一道防线。安全专家们给企业的特权账户管理提出了以下几个建议：

了解自己有哪些特权账户：我们一直在强调：要保护一样东西，首先要知道自己有多少这些东西，而他们又在哪里、以怎样的形式存在着。企业对特权账户管理的第一步就是要知道自己有哪些特权账户：自己各个系统的root账户、自己的应用账号、自己的各类凭证。有一个数据可能会出乎很多人的意料：一个企业的特权账户数量是普通账户数量的3到4倍。显然，知道自己有哪些特权账户远比管理自己的普通账户复杂。

监控特权账户的变化：企业的人员在不断变化，企业的IT环境也在不断变化。企业需要根据人员与IT环境的变化追踪每个特权账户是否依然有必要保留之前的权限。当发生环境变化时，不仅仅要给原有的账户根据其新角色加上新的权限，也要根据新的角色取消原有的权限。另一方面，针对账户的权限变化进行监控，也能防止异常的账户权限变化——比如攻击者将自身的账户进行提权进行进一步攻击的行为。