如何恰当地限制特权账户？

Verizon公司在《2015年数据泄露调查报告》中指出，在其分析的约80000起安全事故中，96%可归因于9种基本攻击模式(因行业而异)。在这9种攻击模式中，内部滥用排在第三位，而其中55%的滥用是特权账户滥用。该报告指出，个人滥用其访问权限几乎发生在每个行业;然而，受影响最大的行业是公共事业、医疗和金融行业。

没有人愿意承认，受信任的雇员或内部人员在滥用其特权账户来给企业造成破坏。但事实是，无论是为了经济利益、报复或意外事故，肇事者都拥有访问权限、知识、机会、时间来进行攻击，还可能知道如何不被发现。然而，限制特权访问并不是信任的问题，如果信任是问题，那么企业应该解雇这个内部人员，这是谨慎控制和问责制的问题。所幸的是，CISO有办法来部署控制以及分配特权账户，而不会影响工作人员履行岗位职责的能力。

特权账户带来的挑战

绝大多数系统管理员、网络工程师、技术支持人员、数据库管理人员和信息安全工程师认为，由于其工作的性质，他们需要全面而不受限制的特权访问。这里的挑战是，他们和企业非常依赖这种级别的访问权限，这很难改变。造成这种情况的原因包括：

· 在多个平台和组件特权账户通常是相同的。如果特权账户可以攻破一个平台，则会影响对整个环境的访问。

· 有些特权账户在管理员之间共享，从而影响问责制。

· 应用系统中嵌入式服务账户让其难以遵守安全策略规定的定期更改密码。

· 特权账户通常不是受相同的企业密码控制，因为担心在重要时刻他们可能被锁定而被拒绝访问。

· 糟糕的变更控制、无效的回收系统以及经常性紧急变更需要特权访问，以保持系统的可用性和性能水平。