来自CyberArk的“武器”——标准的核心特权账户安全解决方案

首页    行业动态    来自CyberArk的“武器”——标准的核心特权账户安全解决方案

标准的核心特权账户安全解决方案

                              ——来自CyberArk

l   发现和管理凭据

 持续扫描环境以检测特权访问,通过将已发现的账户添加在待处理队列或自动登录并根据企业策略轮换账户和凭据来验证特权。

 组织无法保护其未发现到的信息。Cyber​Ark提供了几种发现特权账户和凭据的方法,包括独立的发现和审核(DNA)工具以及核心特权访问安全解决方案标配的账户发现功能。CyberArk将扫描所有分布式网络,并发现Windows系统上的本地和域账户以及* NIX上的SSH密钥,root和其他本地账户。检索到的所有相关特权账户信息(例如,依赖关系,创建日期等)将被放置在Cyber​Ark门户网站的“有待账户”页面中。管理员可以通过REST API设置建立自动账户导入策略,其中包括旨在简化工作流程效率的策略。

 一旦发现并加入了所有特权账户,就可以设置策略以建立凭据强度(例如长度和复杂性)以及轮换频率。任何共享账户也可以根据策略进行轮换,例如在多个位置使用的凭据不会被重复使用或同时使用,并且在每次使用后直接轮换。用户还可以通过临时添加到Windows服务器上的共享本地管理员账户预先确定的时间来“及时”访问关键系统,从而减少对较低优先级管理凭据的需求。

l   隔离凭据并保护会话

 建立安全控制点以防止凭据暴露,并通过各种本机工作流与目标系统的透明连接隔离最终用户的关键资产。

 工作站通常是攻击者穿透网络的一大弱点,恶意行为者可以利用它来横向跳转到整个环境。Cyber​Ark通过使用完全隔离的安全代理实现与关键系统的安全连接,从而确保特权凭据始终不会直接暴露给最终用户或其客户端应用程序或设备。此安全控制点管理对这些特权凭据的访问,并实现双重控制,以实现更强大的工作流程,为用户提供定制的批准工作流程,确保他们符合访问正确的系统的要求。

 终端用户可以通过各种方式安全地连接,其中一种方式便是直接通过Cyber​Ark门户网站进行一般访问。较倾向于原生工作流程的用户则可以使用任何适用于Windows的标准RDP客户端应用程序直接从其工作站请求与Cyber​Ark的安全连接,以及与* NIX和其他基于SSH的系统的本机命令行连接。此外,Cyber​Ark通过本机应用程序登录屏幕提供对一系列即服务应用程序和云平台的安全访问,为管理员提供本机和透明的用户体验。

l   记录和审核会话

 在集中式加密存储库中自动记录和存储特权会话,通过视频播放优先审核录制和活动会话,简化对最可疑活动的审核。

 在发生漏洞的情况下,找到确切的原因并确保其可以被遏制比在大海捞针中找到针头更难。不过有了Cyber​Ark,所有特权会话都将以视频和/或文本格式自动记录,并在防篡改的数字保险库中存储和加密。安全和审核团队可以轻松检查日志文件,以支持合规性和数字取证。临时连接也可以转发给核心特权访问安全解决方案不受管理的目标系统。管理员还可以过滤在特权连接中记录的任何按键或命令(如SSH日志记录或HTTPS),以最大限度地减少不需要的审核记录,从而减少存储的审核记录数。

 在查看会话时,每个记录都有一个可单击的目录,使审阅者可以直接转到特定的活动或命令。此外,Cyber​Ark还有助于优化运营流程,每个会话都会分配一个风险评分,管理员可以对其进行排序和查看,以直接跳转到环境中最重要的活动。

l   监控特权活动

 管理员可以查看视频录制中的特定活动或击键,检测并警告SOC和IT团队绕过或绕过特权控制的异常行为。

 拥有可见的特权活动记录非常重要,但很少有企业拥有人员或资源来查看环境中发生的所有事情。对于网络安全人员而言,这既是一种令人筋疲力尽又容易出错的方法。Cyber​Ark会自动捕获所执行的每个命令和/或事件的审核记录或键入的击键,并根据预定义的策略为每个会话分配风险评分。这使得安全操作中心人员可以通过向安全信息和事件管理(SIEM)或用户和实体行为分析(UEBA)工具发送和接收自动警报来优先处理环境中发生的最危险活动,并采取基于风险的方法。

 核心特权访问安全解决方案能够实时检测绕过或绕过特权控件的尝试,并且既可以向管理员发出警报,也可以采取自动操作来减少关键系统的非托管访问点的数量。

l   缓解风险

 根据风险分配级别自动暂停或终止特权会话,并在特权泄露或被盗时启动自动凭据轮换。

    采用复杂手段的攻击者可以在创纪录的时间内攻击网络并访问关键系统和资源。安全控制在很大程度上依赖于人工干预的效果如何?攻击者可以潜伏很长一段时间,而不会被安全控制或管理员发现。因此,内置的自动化修复控制措施对于保持现代企业的强大安全状态是必要的。Cyber​Ark可以在出现危险行为时自动轮换凭据,例如凭据被盗,绕过数字保险库或不受管理的访问;为了在不依赖人工干预的情况下实时降低风险。非托管账户可以通过Cyber​Ark的持续发现功能自动加入和管理。此外,如果特权会话达到一定的风险评分,管理员可以制定策略,以便在对业务造成无法弥补的损害之前阻止可疑行为。

2020年3月5日 10:16
浏览量:0
收藏
上一篇:
下一篇: