管理优先账户验证 防止IT员工滥用职权

DoSECU 安全分析 3月9日消息:最近有关IT员工滥用职权的案例时常被公诸于众。某些企业在不知不觉中就成为公司内部某些IT员工恶意行为的受害者。出于这些原因,企业的内部IT事务开始逐渐纳入严格的审核范围。Knowledge Center的专业评论人Udi Mokady在此提供了五种能保障和管理优先账户验证的方法来防止IT员工滥用职权。

在过去数年间,有关内部风险的统计数据始终不绝于耳。然而多数IT安全官看起来对此并没有加以足够的重视。因此笔者保证这种说法不会引起争议:那就是某些企业很快就会成为公司内部IT员工恶意行为的受害者。

先把这种说法抛开不谈,先让我们来关注最近的几则头条新闻。在过去的几个月里,我们听说了几个在旧金山,圣地亚哥,里斯本等地发生的企业内部IT员工滥用职权的案例。在这些案例中,问题的根源最终归咎于企业缺乏内部的控制流程。

优先账户能绕过多数内部控制来访问公司的机密信息,他们通过删除数据或者错误的运行应用软件而导致访问攻击的拒绝。在很多情况下,未经授权的用户也能使用优先账户将审计数据毁灭来覆盖内部的追踪程序。

在最近圣地亚哥发生的案例中,一名IT专家将他前任雇主计算机系统中的患者和相关数据故意删除。为此他付出了五年的监禁代价来反省自己的行为,但是损失已经造成。在旧金山的案例中,一名负责技术部门的计算机网络管理员篡改了网络密码,而这个计算机网络中包含了旧金山市的敏感数据。这名管理员擅自创建了一个只有他自己才有权使用的管理密码。这种恶意行为除了会引起公众的不安和不便外,还导致政府要花费据说数百万美元的成本来修复网络,这个统计数据可谓令人震惊不已。通过这两个案例以及其他地方发生的类似事故,我们可以看到这种情况本来可以非常容易而且不需花费多少费用就可以避免的。

我们面临的挑战是要确保这些账户的正确使用。同时如果密码通常由多名用户共享时,那些在操作系统,数据库和网络设备中系统定义的共享超级用户账户就会面临巨大的风险。因此设置在正常工作时间之外处理关键问题的共享火警账户是很有必要的。

法规遵从是关键;要像一名审核人员一样去思考。

最后,所有都归结到内部制度和法规遵从。需要制定内部的流程来让共享账户密码在可控的负责机制下进行管理。诸如电子表格,打印纸,便签条和信封这些解决方案都已经过时了。他们都无法提供足够符合当今审核人员要求的安全和审计级别。如果一名审计人员能定位他们,从统计角度来说,IT人员也会发现并利用他们。

如何为我们的下一步审核工作做准备

不管你属于那个部门,审核点都会用到公司的政策和测试他们的有效性。错误的政策将导致违规行为的发生。当然这不是说与政策有关的都会导致违规行为,也没有提及公司由于数据泄露而成为报纸头条的风险。

对审核人员要求的配合能显示出有效的控制,因此企业有必要设置适当的流程来确保及时的配合。不要让你的审核人员久等。延误或者对审核需求的不配合都将导致失败,宝贵的资源也将以时间和金钱的代价付诸东流。

因此什么是审核人员想要寻找的呢,你又准备怎么做呢?接下来的三个技巧无疑是有价值的:

技巧1:确保公司有自动报表系统。纸面上的变动将不会受到审核人员的欢迎。

技巧2:根据他们的属性和所存储数据的敏感程度进行分类

技巧3:确保你所制定的政策符合下面的要求:密码能根据设定的时间间隔定期自动更改(举例来说,每个2个月自动更换一次);当需要时密码能自动更改;在结账结束后短时间内密码能自动更改(比如30分钟);密码能在每次使用之间自动更改,如果需要的话,一次只有一个人有权使用;要定期验证密码确保没有发生未经授权的密码更改。

统计数据让笔者深信肯定还有企业正在由于优先账户的滥用而遭受系统不正确使用的损失。宜早不宜迟,毕竟已经有前车之鉴–某些企业因为没有采取必要的预防措施来保护自己而成为新闻的头条。谁也不知道头上的那块云彩会下雨,因此赶在风暴来临之前从现在开始尽其所能的保护自己吧。