Verizon公司在《2015年数据泄露调查报告》中指出，在其分析的约80000起安全事故中，96%可归因于9种基本攻击模式（因行业而异）。在这9种攻击模式中，内部滥用排在第三位，而其中55%的滥用是特权账户滥用。该报告指出，个人滥用其访问权限几乎发生在每个行业；然而，受影响最大的行业是公共事业、医疗和金融行业。

没有人愿意承认，受信任的雇员或内部人员在滥用其特权账户来给企业造成破坏。但事实是，无论是为了经济利益、报复或意外事故，肇事者都拥有访问权限、知识、机会、时间来进行攻击，还可能知道如何不被发现。然而，限制特权访问并不是信任的问题，如果信任是问题，那么企业应该解雇这个内部人员，这是谨慎控制和问责制的问题。所幸的是，CISO有办法来部署控制以及分配特权账户，而不会影响工作人员履行岗位职责的能力。

特权账户带来的挑战

绝大多数系统管理员、网络工程师、技术支持人员、数据库管理人员和信息安全工程师认为，由于其工作的性质，他们需要全面而不受限制的特权访问。这里的挑战是，他们和企业非常依赖这种级别的访问权限，这很难改变。造成这种情况的原因包括：

• 在多个平台和组件特权账户通常是相同的。如果特权账户可以攻破一个平台，则会影响对整个环境的访问。
• 有些特权账户在管理员之间共享，从而影响问责制。
• 应用系统中嵌入式服务账户让其难以遵守安全策略规定的定期更改密码。
• 特权账户通常不是受相同的企业密码控制，因为担心在重要时刻他们可能被锁定而被拒绝访问。
• 糟糕的变更控制、无效的回收系统以及经常性紧急变更需要特权访问，以保持系统的可用性和性能水平。
• 小部分工作人员要求管理人员在网络、系统、应用、安全和数据库管理员水平填补冲突的工作职责。

限制特权账户

管理员需要比一般用户更高的访问权限来访问系统资源以完成其工作。例如，对网络设备配置的任何微小变化都会影响整个企业，限制访问权限可能不利于IT运营和系统可用性。但企业仍然通过职责分离、监控活动、变更控制要求、最小权限和问责制等基本控制来限制特权账户，这些控制包括：

• 限制特权账户的数量。
• 并非所有管理员需要域账户或对外部安全管理器的超级用户特权，例如大型机IBM的RACE、CA-ACF2或CA-Top Secret。
• 在分配特权账户时使用Active Directory Administrative Groups。
• 确保特权账户使用自己的账户，他们可以有特权账户，但他们应该使用一般用户账户，因为指定管理员才可拥有特权账户。
• 所有特权活动应该被记录，日志应该直接路由到SIEM，这样日志无法被删除或修改。
• 对于所有远程访问，管理员应该使用多因素身份验证。对于所有三层网络设备和关键任务子网时，应该需要代理或跳跃服务器以及AAA TACACS/RADIUS服务器来获得访问权限。
• 可由管理员访问的敏感数据应该进行加密以减小风险。
• 管理员密码应该由企业控制，并由Group Policy Object执行，而无一例外。
• 技术管理人员应执行定期账户认证，以确保是否仍然需要特权账户访问权限。
• 数据库管理员不需要域账户，他们需要访问权限来维护数据库、模式和执行数据库库重组。如果他们需要修改数据，应受到数据库监控。
• 使用防火墙VLAN、代理服务器和ACL来分隔网络，让管理员只能访问他们负责的系统。
• 信息安全账户需要规定安全结构，但他们不需要访问权限来读取或修改生产数据。这些账户因由SIEM监控，活动应进行管理审查。
• 技术管理员不应该有域账户，除非因为人员配备不足而需要。管理人员和信息安全人员应该监控特权账户活动。
• 使用数据丢失工具来监控网络、服务器、共享和端点的活动，以防数据泄露或渗出。

现在市面上有很多工具可提供对特权账户的额外限制，这些特权访问管理系统各有不同，并可用来增强上述控制。除了这些系统，限制特权账户数量、监控特权账户活动、确保问责制、职责分离和保护敏感数据就已足够。

限制特权账户

限制特权账户很多时候取决于IT组织的规模，管理员越多，企业就越容易根据最小权限来限制访问。在小团体中，每个人都履行不同的职责，限制访问更具挑战性。然而，如果没有问责制或监控，特权用户可能会误入歧途。这里有三种类型的控制：

• 预防性控制：让特权账户只能访问用户负责的系统和缓解。
• 检测性控制：确保特权账户活动是全面且安全的，并由使用管理员无法访问的SIEM或系统日志服务器来监控。
• 纠正性控制：确保部署足够的备份和恢复控制，以在特权用户滥用的情况下，让系统回复到正常状态。

企业可使用这些控制或者适当组合这些控制来有效控制特权账户。安全以及对特权账户的控制不一定是繁重或破坏性的，深思熟虑的拓扑结构、访问权限、监控和恢复程序可减少特权用户风险，并允许他们履行自己的工作职责。