网络安全的 10 个步骤之身份鉴别和访问控制
控制谁和什么可以访问系统和数据。
需要保护对数据、系统和服务的访问。了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要。必须选择适当的方法来建立和证明用户、设备或系统的身份,并有足够的信心做出访问控制决策。一个好的身份和访问管理方法将使攻击者很难假装他们是合法的,同时让合法用户尽可能简单地访问他们需要的东西。
有什么好处?
只有被授权访问数据或服务的个人和系统才被允许这样做
通过在整个组织中正确进行身份和访问管理,减少对员工工作日的影响
与客户、供应商和合作伙伴更顺畅的协作
需要身份和访问管理才能有效运行的更有效的安全监控和其他控制
该怎么办?
制定适当的身份和访问管理政策和流程
首先,考虑如何建立身份。确保有一个身份和访问管理政策,涵盖谁应该有权访问哪些系统、数据或功能,为什么以及在什么情况下。确保考虑所有潜在类型的用户,包括全职和兼职员工、承包商、志愿者、学生和访客。
确保该政策涵盖获取审计记录的内容和方式,以及如何保护它们免遭篡改,并确定哪些操作或流程(如果有)需要多人执行或授权。
政策不仅应涵盖控制的系统,还应涵盖可以使用组织身份的任何地方(例如,员工可以使用他们的工作电子邮件地址创建账户的网站或在线服务)。对于某些在线服务,可以使用组织身份进行单点登录 (SSO),以控制对这些服务的访问(并在某人离开您的组织时撤销其工作帐户的访问权限)。
确保账户管理流程包括“加入者、迁入者和离开者”政策,以便在不再需要时可以撤销访问权限,或者为迁入者更改访问权限。临时账户(可能是为测试流程而创建的)在不再需要时也应删除或暂停。
如果第三方需要访问系统,请确保签订了保密协议,并且可以在必要时撤销任何访问权限。
考虑对所有用户账户进行多因素身份验证
选择与风险相称并支持人们自然工作方式的身份验证方法。确保考虑用户到服务、用户到设备和设备到服务的身份验证。
在任何在线服务帐户上实施多因素身份验证(MFA) - 也称为或双因素身份验证 - 以防止密码猜测和盗窃。在适当的情况下,为人们提供多种因素来进行自我验证,因为没有一种方法适合所有人(或所有环境或设备)。这些可能包括SMS或电子邮件消息、生物识别或物理令牌。
在需要密码的地方,实施适当平衡可用性和安全性的密码策略。应该尽量减少用户需要记住的密码的数量和复杂性,例如,通过使用单点登录或允许密码管理器。这将有助于阻止不安全的做法(例如重复使用密码、选择易于猜测的密码或将其写下来)。实施技术控制措施,例如 MFA、账户限制或锁定、监控可疑行为以及防止使用弱密码或暴露的密码,以帮助预防和检测基于密码的攻击。
确保凭证在静止和传输过程中得到充分保护。
对特权账户使用MFA和其他缓解措施
对管理账户使用分层模型,并且仅在绝对必要时才使用具有完全权限的账户(如域管理员、全局管理员或云管理员帐户)。
确保为管理账户启用多因素身份验证,并考虑使用强身份验证方法(如硬件安全令牌)和位置或时间等因素,根据情况和尝试的活动做出基于风险的决定以允许访问。
确保管理员有单独的用户账户用于日常业务(例如电子邮件和互联网浏览),并有另一个用于需要其管理权限的活动。这些帐户应充分分离,例如通过使用单独的设备或向下浏览的方法,并考虑在这些设备上阻止任何不必要的 Web 和电子邮件访问。这限制了鱼叉式网络钓鱼的暴露,并使通过单个漏洞实现广泛的系统访问变得更加困难。这些注意事项也可能适用于具有更大访问权限的其他用户,例如批准财务付款的用户或可以对组织所依赖的任何软件进行更改的开发人员。
定期检查用户账户和系统是否有不必要的特权,并确保在不再需要时撤销特权访问。
使用安全监控来检测潜在的恶意行为
确保记录和监控身份验证和授权事件,以发现可能表明存在潜在危害的可疑行为。恶意行为的指标可能包括未能通过MFA的第二步的登录尝试、来自意外地理区域的尝试、账户密码的暴力破解(包括密码喷洒)或意外的账户限制或锁定报告。
设计访问控制系统以允许轻松监控账户使用和访问,并确保可以将系统中的所有操作与执行这些操作的人员或账户相关联(例如,在 Web 服务中,执行的所有 API 调用都可能链接到访问令牌)。
参考来源:英国国家网络安全中心官网