越來越多的 IT 專業人員正在處理潛伏在他們自己的組織中的日益嚴重的問題。隨著最近引人注目的數據洩露事件成為頭條新聞,內部威脅帶來的風險已成為 IT 團隊最關心的問題,根據 2022 年 Ponemon 內部威脅成本全球報告。
雖然感知到內部威脅被公眾視為心懷不滿的員工積極破壞系統或竊取數據以出售給競爭對手,問題遠比這複雜得多。由於全球生活成本的上升,越來越多的員工將容易受到惡意行為者的請求的影響,這些惡意行為者正在尋找部署勒索軟件的潛在同謀。此外,濫用內部訪問權限不僅限於釋放勒索軟件,因為用戶可能會受到激勵也出售其憑據以輕鬆賺錢。這些風險引起了任何組織的極大關注,因為用戶權限很容易被利用併升級以接管關鍵 IT 資源。事實上,我們自己的 Quest 安全評估發現,很大一部分用戶帳戶(令人印象深刻的 70-100%)具有訪問權限,黑客可以輕鬆升級這些權限以獲取對零級資產(包括 Active Directory 域)的訪問權限.
不幸的是,威脅並沒有就此結束,因為黑客總是隨時待命,隨時準備進行破壞——包括利用員工粗心犯下的錯誤。黑客可以利用這些事故來控制您環境中的憑據,將自己從外部攻擊者轉變為內部威脅。
我們知道了解您組織的用戶帳戶可能很困難。許多公司擁有數百(如果不是數千)具有不同權限級別的用戶帳戶-您甚至可以從哪裡開始?
您可以先看看這三個對您有幫助的最佳實踐減輕內部威脅並改善您公司的網絡安全態勢。
了解您組織的控制權限
減輕內部威脅的第一步是清楚地了解情況誰有權訪問什麼。對於大多數公司而言,這意味著了解您的 Active Directory 用戶和組以及分配給他們的權限。許多組織的一個共同關注領域是域管理員、企業管理員和帳戶操作員等組。任何這些強大組的成員身份都會提供對環境的巨大特權,因此將它們置於嚴格控制之下至關重要。
不幸的是,黑客通常知道這些組受到高度監控,因此他們尋找提升他們特權的其他方式。例如,惡意行為者可以嘗試使用他們想要的數據在數據庫服務器上獲得本地管理員訪問權限,或者破壞有權訪問他們想要的數據的帳戶,無論是管理員帳戶還是用戶帳戶。此外,如前所述,它不一定需要特權憑據或惡意意圖才能導致嚴重問題——匆忙的用戶或粗心的管理員可能只是犯了一個錯誤而危及您的數據。
正確控制您的 GPO
組策略對象 (GPO) 是策略設置的集合,您可以使用它們來控制密碼複雜性要求、防止用戶訪問系統的某些部分、重命名Administrator 帳戶或重置其密碼、部署自定義註冊表值等等。很難誇大組策略在任何 Microsoft 環境中的力量。惡意行為者只需對 GPO 進行一次修改即可迅速將用戶鎖定在關鍵業務應用程序之外,甚至會導致勒索軟件或其他惡意軟件在系統啟動時運行,從而可能導致嚴重的數據丟失或系統停機。
設置足夠的管理員權限
您最後的關鍵優先事項應該集中在降低黑客首先控制用戶帳戶的能力上。在大多數情況下,用戶工作站首先成為攻擊目標。一旦攻擊者在用戶工作站上站穩腳跟,他們就會尋找可用於橫向移動到其他系統並惡意提升其特權的憑據。當然,如果他們收集用戶憑據就已經夠糟糕了,但如果他們設法獲取授予更強大權限的管理員憑據,那就更糟了。因此,密切控制管理員憑據的使用位置至關重要。
沒有靈丹妙藥可以完全消除內部威脅。但是,如果您想最大程度地減少對系統的任何不必要的訪問,則必須確保您的用戶和管理員擁有正確級別的權限。通過實施這三個簡單的做法,您的組織將能夠更好地正確響應並保護自己免受持續不斷的內部威脅風險。
Image Credit:LeoWolfert/Shutterstock
Bryan Patton 是校長戰略系統顧問,Quest。