特权账号安全管理解决方案

1、特权账号安全管理解决方案数据中心存在的问题建立集中的数据中心安全运营管理，向云模式靠拢逻辑上将人与目标设备分离，全局唯一身份标识，隐藏设备管理帐号密码；将数据包围在数据中心，离线数据以脱敏或加密的方式存在；通过实施海CyberArk息安全体系转变传统IT安全的被动响应模式，建立面向用户的集中、主动的安全管控模式；现在过去转变数据中心安全发展趋势 专网DDoS流量清洗病毒过滤/行为管理IPS入侵防御核心区-数据中心数据脱敏核心防火墙终端办公区IDS入侵检测特权账号安全管理基于业务的审计风险评估与渗透测试数据中心运维区开发第三方接入区边界防火墙内网核心交换机IP生命周期管理、接口管理边界安全内网安

2、全安全大数据分析/可视化SOC/4A地市接入区外部DMZ区Web应用防火墙VPN网关数据中心交换机ISP1ISP2链路LBS内部DMZ区开发测试区异地容灾互联单位典型数据中心安全视图国内外安全事件层出不穷 1月，韩国发生金融行业最大规模信用卡个人信息泄密事件，涉及约2000万用户，共1亿多条客户信息被泄露，最多的用户有19项个人信息被泄露了，多名高管因此事引咎辞职。 3月23日凌晨，携程被爆安全支付日志可遍历下载，因此导致大量用户银行卡信息泄露，其中包括持卡人姓名、身份证号、银行卡号、卡CVV码、6位卡Bin。 7月24日，欧洲中央银行遭到网络攻击，匿名黑客攻破了该行公开的外部网站的数据库，窃

3、取了该行网站上1.5亿注册者的电子邮件和联络人的细节信息。电子邮件、部分街道地址和电话号码在内的部分未加密数据被利用。 9月，美国家得宝公司确认其支付系统遭到网络攻击， 将近有5600万张银行卡的信息被盗，这比去年发生在Target的客户银行卡数据被盗事件还要严重。 10月2日 ，摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限，偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息，与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一 。安全威胁之APT1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意

4、邮件，附件名为“2011 Recruitment plan.xls”； 2.在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。 3.其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的 Adobe Flash的0day漏洞（CVE-2011-0609）命中； 4.该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务； 5.首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑； 6.RSA发现开发用服务器（Staging server）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后

5、清除入侵痕迹；安全威胁之APTAPT全称：Advanced Persistent ThreatAPT（高级持续性渗透攻击）简述：APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击；是一种以商业和政治目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特点；APT攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇，因此也无法通过阻止一次攻击就让问题消失。安全威胁之APTRSA SecurID窃取案例：2011年3月，EMC公司下属的RSA公司遭受入侵，部分

6、SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击，重要资料被窃取。持续性同发性个人终端突破多攻击向量社工0DAY社工跳板可信通道加密缓慢长期长期窃取战略控制深度渗透APT攻击最终的目标就是特权账号获取凭据是黑客成功的必要条件Mandiant, M-Trends and APT1 Report“100% 的信息泄露都涉及到了凭据丢失“高级持续性威胁APT首先尽各种可能找到可以利用的特权账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。新的网络战场:在你的内网中超过90的企业已经及发生过安全事件由“我可以

7、在外围停止一切网络攻击” 战略性变为“我不能停止一切在外围的网络攻击。”信息安全的重点转移到了内部网络关键资产的主动防护实时检测正在进行的攻击70是内部安全事件 - 以及是最昂贵的 要防止恶意和意外的内部人員“任何人在位于特权存取，并拥有我的技术能力，就能把秘密资料找出来”事实不言自明：你也将会受到攻击及破坏没有绝对安全性这样的事情攻击者时刻会变得更加聪明和改变战术负责任和持续投资在资讯科技的企业将继续受到网络安全影响100%94%416100%所有的受害者已有最新的防病毒软件94%的安全事件是由第三方报告出来的416天是APT在未被发现之前已在网络内部隐藏且活跃的时间所有的安全事件会涉及被盗

8、取的特权用户账号Mandiant, 2013特权帐号“取得你的重要信息必由之路”核心资产一旦被入侵，所有路向都会通住特权帐号网络设备主机数据库Systems Integration PartnersTemporary StaffCloud ServiceProvidersOff ShoreDevelopersContractorsInternal Users内部用户外包开发者承包商云服务供应商临时工作人员系统集成商合作伙伴Systems Integration PartnersExternal AttackerCloud ServicesOff ShoreDevelopersContracto

9、rsInternal UsersYou Need to Know!哪一个是攻击者?哪一个是授权用户？4大关键步骤预防APT然后把特权帐号妥善地保护及管理比如最小权限控制、职责分离等控制，隔离和监测对于目标服务器和数据库上的特权访问使用对特权帐号的实时分析，预警和响应到正在进行的攻击先把企业内的特权帐号找出来数据中心到底有多少账号操作系统ZOS/UNIX/Linux/WIN/AD安全设备网络设备数据库DB2/Oracle/MSSQLTeradata应用部署应用后台中间件WebSphere,WebLogic系统服务脚本应用内嵌的账号虚拟化管理软件Windows的Cluster服务、计划任务、中都需

10、要绑定域账号网络、安全设备中的root或者enable账号内部管理软件比如备份，监控等系统的管理员账号特权账号管理要求登录会同操作会同变更/事件/服务不合规提醒一次一密每90天修改不同于前7个密码版本最近N个密码不在同一位置出现相同的字符特殊字符大小写密码长度账号管理最佳实践 要点与难点强化账号一次一密使用后N小时过期随机密码，无人知晓，防暴力破解高频度账号回顾与梳理每天梳理数据中心的账号列表，审查不合规密码安全控制团队进入审查常态化，智能化管理范围全面管理类账号、应用内嵌类账号不同管理接口：zos,ssh,odbc,http,win等账号使用作严格控制双因素认证双人会同、分段发放、不允许知晓

11、密码变更管理账号使用监控监控访问会话操作录像与命令行回溯账号最小权限原则尽量减少使用特权特定任务不允许使用特权，或将所需特权剥离出账号建立使用申请与审批账号使用账号审计账号回收1、把用户作为一种特殊而关键的资产，具有资产属性特征的生命周期；2、建立统一的安全管理机制，逐步覆盖所有重要用户，实现对用户从生成到注销的全生命周期监控与审计；3、利用PDCA思想，建立整个生命周期管理过程，覆盖特权账号管理的各个环节。（计划、执行、检查、行动）解决方案思路网络设备特权账号的主动保护，监控，响应特权账号主动保护只有授权的用户可以使用责任到人权限最小化定向监控24小时不间断地监控特权账号恶意行为检测高风险活

12、动报警工业控制系统Hypervisors数据库/应用系统终端设备社交媒体实时响应特权会话终止特权账号使用情况可以做为证据外部访问内部访问者外部访问外部访问内部访问者外部访问内部访问者1、建立用户台账；2、安全责任落实；3、自动策略合规；4、操作全程监控；5、快速审计溯源；6、特权威胁分析；主要提供以下功能：1、用户自动发现（资产盘点）2、用户列表（资产清单）3、用户变更报告（资产变化）4、可视化用户分布图（资产位置）建立特权用户台账主要提供以下功能：1、统一门户，单点登录，防止绕行；2、责任到人：主账号与自然人的唯一性关联，确保责任落实；3、责任变更：随同人员岗位变更、工作职责变更、离职等情况

13、，用户进行相应变更或回收。安全责任落实主要提供以下功能：1、密码进行集中托管，使密码远离滥用泄露；2、密码进行自动更改，满足安全和合规要求；3、关键操作实现双人会同，分段密码；4、所有密码操作留痕，满足合规性审计要求；5、用户权限应用级命令级细粒度管理，实现权限最小化自动的策略合规性主要提供以下功能：1、操作会话从建立到中断被全程监控，并有详细操作留痕；2、实时监控，高危命令告警与提示；3、无论命令行还是图形界面操作，都可以细化到命令级别的日志记录；4、对于脚本执行操作，识别并记录脚本中的命令；5、对操作的录像记录要进行细化分段，以利于审计；操作全程监控主要提供以下功能：1、防篡改的详细审计日

14、志2、能够通过关键字段快速地查找到相关的日志记录和操作录像；3、支持丰富的自定义审计报告和图形展现。快速的溯源主要提供以下功能：1、自动学习特权操作行为特征并建模（基于时间、位置、操作命令等的多维度关联）；2、对异常高权限操作行为进行告警，及时发现攻击行为；3、可以灵活自定义告警策略和告警方式（支持邮件、短信）特权账号安全管理方案架构企业密码保险库特权会话管理应用身份管理按需分配特权管理WEB门户主策略管理器安全数字保险库特权威胁分析（PTA）基础技术平台主动管控组件特权威胁分析保护监控响应SSH Key 管理账号扫描引擎审批流程安全策略访问账号报告访问 控制账号 采集提供使用DR服务器PRO

15、VIDER邮件服务器动态口令服务器电子签名同步账号管理访问控制目标设备Telnet | SSH | RloginFTP | SFTP | Win Term应用系统网络设备数据库主机生命周期密码账号非法账号日志/审计会话控制访问控制命令控制管理员员工第三方离职员工基础认证多因素认证外部认证OTPPKIBioSmart CardLDAPSSORADIUS单一用户界面认证用户。ID/PWIP/MAC。CyberArkCyberArk应用内嵌特权系统逻辑架构图强大的目标支持能力ADSunOneNovelUNIX KerberosUNIX NIS数据库Central Policy Manager操作系统

16、 安全设备网络设备目录服务器远程控制和监控系统应用通用接口WindowsUnix/LinuxAS400OS390HPUXTru64NonStopESXOVMSOracleMSSQLDB2InformixSybaseMySQLAny ODBCFW1, SPLATIPSOPIXNetscreenFortiGateProxySGCiscoJuniperNortelAlcatelQuntumF5HMCHPiLOALOMDigi CMDRACSSH/TelnetODBCWindows RegistryConf fileText fileSAPWebSphereWebLogicWindows:Servic

17、esScheduled TasksIIS App PoolsIIS AnonymousCOM+Oracle Application ERPSystem Center Configuration ManagerDatabase columns企业IT环境Web应用系统WEB界面基础技术平台基础平台概述主策略管理器通过统一界面管理和监控所有策略设置覆盖整个组织的统一特权访问控制策略为用户提供基于角色的访问控制安全数字保险库七层安全机制保护核心凭证和文件为核心凭证和文件提供高度安全的集中化存贮为所有特权会话审计数据提供可控的高度安全存贮保险库Discovery Engine账号扫描引警发现网络内的特

18、权账号看到哪些账号未受公司策略管控无论本地、域和服务关联账号基础平台功能说明功能好处通过单一的设施满足所有特权账号安全管控要求单一平台可以获得最优的管控效果发现组织所有的特权账号理解当前特权账号安全状态，并制定围绕数据的风险管控计划集中设置和监控所有策略强制实行覆盖整个组织的统一策略，达到安全强化和合规的目标。七层安全机制保护敏感凭证和文件使组织绝大多数关键资产被成功攻击的风险最小化把所有特权会话活动数据存贮在防篡改的保险库中满足合规性要求, 防止恶意行为人隐藏其行为踪迹主动管控组件主动管控: 五大组件网络设备主机Mainframes数据库应用安全设施Websites/ Web Apps云设施

19、企业密码保险库(EPV)企业密码保险库企业资源安全存贮密码更替*终端用户WEB门户企业密码保险库(EPV)功能说明功能好外把所有特权密码集中存贮在高安全性的保险库中降低因密码丢失或被盗导致的核心系统非授权访问风险基于角色和策略对特权和共享账号进行访问控制仅允许授权用户和应用访问核心系统，降低威胁程度。主动管控密码生命周期，包括创建、更替和销毁强化密码安全性，满足要求密码主动更替的合规性要求密码生命周期管理过程自动化无须人工干预，降低IT运营压力提供所有特权密码访问和使用的行为报告完整的轨迹审计满足合规性要求，确保特权密码不被乱用。主机Mainframes数据库应用云设施SSH 密钥管理SSH

20、密钥管理Unix/Linux 资源终端用户WEB门户安全存贮密钥更替与分发Pub.Priv.SSH 密钥管理功能说明功能好处把SSH密钥集中存贮在高度安全的保险库中降低SSH密钥被滥用或盗用导致核心系统的非授权访问风险。对用户或应用使用的SSH密钥进行基于角色和策略的访问控制仅允许授权用户和应用访问Unix/Linux系统，降低威胁程度。自动更替SSH密钥对并向目标系统分发公钥消除人工干预，限制恶意用户通过操作窗口使用已泄密密钥。审计特权SSH密钥的使用，并提供报表。完整的轨迹审计满足合规性要求，确保特权密钥不被乱用。网络设备主机Mainframes数据库应用安全设施Websites/ Web

21、 Apps云设施特权会话管理(PSM)特权会话管理企业资源终端用户WEB门户特权会话管理器*Layered with Enterprise Password Vault特权会话管理(PSM)功能说明功能好处无须向用户暴露凭证的情况下，用户可以连接需要访问的系统。防止用户在绕过会话监控的情况下直接访问核心系统。通过安全的跳板服务器把所有的特权连接变成独立的特权会话。防止用户终端的恶意软件传播到核心目标系统。在安全跳板服务器上监控所有特权会话。无须在终端安装任何代理的情况下获得实时会话监控能力对每个特权会话进行视频记录和详细审计日志。获得完整的审计记录，满足合规性要求，快速定位处理安全事件。所有会

22、话记录和审计日志都被安全存贮在防篡改的数字保险库中。防止对审计日志的非授权访问，以满足合规性要求，确保用户不能编辑或删除其行为踪迹。网络设备主机Mainframes数据库应用安全设施Websites/ Web Apps云设施安全存贮密码和SSH密钥更替*类型 系统内嵌账号客户关系管理系统人力资源系统电商系统应用身份管理应用身份管理企业资源应用WebSphereWebLogicIIS / .NETLegacy / HomegrownUserName = “app”Password = “y7qeF$1”Host = “6”ConnectDatabase(Host, UserName, Passw

23、ord)UserName = GetUserName()Password = GetPassword()Host = GetHost()ConnectDatabase(Host, UserName, Password)应用身份识别功能（AIM）说明功能好处用动态凭证替换硬编码密码和本地存贮SSH密钥更替核心系统凭证以减少安全威胁，满足合规性要求自动更替应用凭证，并更新对应系统使变更有效。在减少IT运营压力的同时降低风险，满足合规要求。在提供目标系统凭证前把应用进行认证并加入保险库。 防止潜在的非授权应用访问核心系统在每个被管理系统上对应用凭证进行加密缓存降低响应延时，用安全存贮的本地凭证确保高

24、可用性可以按照需求对多个应用进行集中部署或在每台应用服务器上进行本地部署灵活的部署能力，满足业务和应用的可用性需求UnixLinux目标资源Windows ServerWindows PC OS按需分配的特权(OPM)管理按需分配的特权管理终端用户3. 有效策略4. 授予一次性访问权限用户特权:标准特权许可提升的特权不允许的特权1. 发送权限提升请求2. 用户认证按需分配的特权管理(OPM)功能说明功能好处基于用户限制管理权限，强制权限最小化用户可以在符合策略的基础上进行按需的一次性自动提升权限。在使用提权的会话中，会对所有管理行为进行审计记录应用白名单可以允许在指定系统中持续运行。集中管理所

25、有特权策略基于角色的管理权限限制可以有效减少威胁通过自动提升权限保证IT运营效率监控和记录所有提权行为和操作，以发现潜在威胁，满足合规性要求简化IT流程，强化应用管控，减少威胁。强制在整个组织内统一实施权限最小化策略，有效管理风险，满足合规性要求。特权威胁分析（PTA）特权威胁分析(PTA)正常异常ALERT:SIEM & CyberArk行为分析SIEM 解决方案登录信息目标系统数据目标: 从噪声中发现信号. 使SOC可以快速定位严重的告警.行为分析: 具有自我学习能力的智能统计分析模型，基于自有算法、登录信息和兼容SIEM模块采集的目标系统数据特权威胁分析（PTA）功能说明功能好处分析所有特权账号登录数据，学习和建立用户行为模型理解用户行为模型有助于发现异常和可疑活动通过SIEM采集目标系统数据，建立目标系统的活动模型关联用户和系统活动模型，快速发现可能是攻击行为的异常信息通过特权账号管理系统和SIEM进行异常活动告警。使用动态自学习自有算法分析用户和系统活动识别最严重的事件，使之不