在组织能够解决特权用户内部威胁并实现正确的监视和缓解最佳实践之前, 它必须首先定义特权用户. 通常，它是有权访问公司敏感数据的员工. 他们通常有权在组织的网络上执行管理任务. 公司需要特权用户来处理源代码, 维护文件系统，实施网络升级或处理其他技术变更.

大多数特权用户将保持其组织资产的完整性. However, 他们可以轻松地绕过通常受到限制的控制，这使得这些资产变得脆弱. 此外，偶尔还会滥用执行任务所必需的临时访问权限. 有两种方法可以确定特权用户访问:

1. 考虑用户可以物理访问的内容
2. 考虑用户可以使用其凭据以数字方式访问哪些内容

更大的访问权限和更少的控制带来了更多的安全挑战. 当组织缺乏良好的安全程序或没有始终如一地执行它时, 这使得知识产权——比如敏感的产品数据或员工信息——容易受到特权用户的威胁.

事实上， 注册欺诈审查员协会 (ACFE)指出，由于员工的欺诈行为，每家公司平均每年损失5%的收入. 通常, 它是由一个组织的it部门的人所执行的, 因为他们拥有其他员工所缺乏的更多的技术知识. 然而，重要的是要记住，冒犯者可能并不总是特权用户. 可能是组织外部的某个人通过网络钓鱼获得了It员工的凭证.

波耐蒙研究所的报告，“特权用户滥用 & 内部威胁,发现，大多数组织在识别与内部人员行为相关的可信威胁方面存在困难. 其中，69%的受访者表示，他们无法在数据泄露之前识别出此类威胁. 此外, 报告发现，42%的受访者不相信他们能够辨别他们的特权用户是否符合政策，只有16%的人对这些领域非常有信心.

特权用户威胁的危险信号可能很微妙. 其他的更明显. 下面是一些例子:

• 试图进入一个不允许进入的区域.
• 以不常用的方式使用凭证(例如.g. 网络登录).
• 利用许可蔓延，这通常发生在转岗和离职员工之间.

那么一个组织如何保护自己呢? 通过监视人类行为，确定特权用户的上下文和意图. 通过实施正确的策略，可以通过纵深防御方法实现监控, 控制和技术. 安全监控是否到位并得到一致执行, 企业将很快知道是否有需要采取行动的事件.

一旦定义了特权用户并确定了环境的潜在威胁签名, 你应该实现控制, 降低风险的策略和技术. 考虑以下几点:

1. 将公司内的特权用户帐户限制为只有那些在其职位上需要特权用户帐户的用户-包括共享特权用户帐户和本地管理员权限. 此步骤需要定期监视以跟踪身份验证尝试的性质.
2. 让关键人员同意所有权限. 在理想的情况下, 批准应该来自员工的命令链中被要求访问的人.g. 直接主管). 在票务系统中正式记录访问请求. 访问的请求提交以及访问的业务理由应该是必需的.
3. 给员工一个清晰的蓝图，指导他们完成安全流程, 因此，没有任何误解或滥用的余地. 过程应包括:a)沟通和执行严格的帐户管理和密码策略, b)确保他们在完成每个任务后正确地退出特权用户帐户，并且只访问与其工作相关的区域. 令人惊讶的是, 波耐蒙的报告还发现，65%的受访者曾出于好奇而非工作需要深入研究敏感或机密数据. 另外, 所有员工，不论是否享有特权用户，都应接受培训，并定期提醒他们避免将敏感资料转发至个人电邮.
4. 投资正确的技术来保护您的组织，并采取多层次的方法. 单一的技术并不能完全保护您的组织. 考虑实现以下一些功能:特权帐户管理(PAM)——它使企业能够控制特权共享帐户的使用，例如root/Administrator帐户. PAM允许细粒度的、上下文驱动的或时间限制的超级用户特权. 它还更详细地监视共享帐户使用和超级用户特权. 如果配置和监控正确，安全信息和事件管理(SIEM)系统可以通知组织未经授权的数据访问. 它可以为行为设定基线并记录偏差(例如.e. 访问一个特权用户过去没有访问过的区域). 请记住，SIEM并不能阻止实际的破坏. 数据治理解决方案能够确定用户当前的访问权限，并在强制执行最小权限的情况下，就用户的实际访问权限给出智能建议. 数据治理解决方案还可以分析文件系统权限，并在当前定义为具有访问权限的用户和组没有访问文件资源时，就删除对文件资源的访问提出额外的智能建议.
5. 争取人力资源来支持你的努力. 可以采取措施增强特权用户访问安全性. 它们包括保密协议、竞业禁止协议和背景调查. 上述报告发现，57%的受访者表示，在发放特权账户凭证之前没有进行背景调查. 主动进行这些检查可以很容易地减少威胁范围，并符合支付卡行业数据安全标准(PCI-DSS)的双重目的。, 联邦信息安全管理法案(FISMA)和萨班斯奥克斯利法案(SOX)法规. 更进一步，对求职者的更彻底的面试过程(例如.e.——打电话给推荐人，问更具体的问题等等.)可以进一步减少潜在的威胁.
6. 对特权用户内部事件立即采取行动. 当一个人被识别, 应使用相关信息(适用日志)打开事件跟踪单, 例如). 应该将其分配给帮助台或安全团队进行进一步调查. 甚至可能发现特权用户以外的其他人通过黑客技术访问了他或她的登录凭据.

尽管大多数组织都有适当的政策和程序, 许多人并没有定期坚持下去. 至少，应该对特权用户访问进行年度审查. 审查可以确定是否授予不需要访问权限的用户访问权限，以及是否应该因滥用或更改工作角色而撤销访问权限.

上面强调了几种可以减少特权内部威胁的技术和流程. 然而，许多组织并没有给这些技术和过程赋予价值. 不幸的是，只有不到一半的国家有专门用于减少此类威胁的技术的预算. 经常, 管理层甚至没有看到确保权限严格的价值——当前的安全体系结构可能无法解决这些安全措施.

此外, 一些有互联网业务的组织选择购买网络保险，以防受到威胁. However, 保险公司很少要求这些组织在实施技术和流程以防止公共伤害/其他违规行为方面承担责任. 许多人只是认为它不够重要，不需要强制执行.

它充分说明了自满会导致问题. 尽管技术不能解决所有问题或减轻所有威胁, 它可以在很大程度上减少其中的许多, 特别是如果技术是经过深思熟虑的实现和一致的监控.

作为起点，所有组织都强烈鼓励进行风险评估. 风险评估将有助于确定特权用户的内部威胁, 同时，它还能让人们更清楚地了解哪些控制措施缺失，哪些政策需要改进.

一旦完成, 你将更有能力制定一个涵盖所有领域(人员)的安全计划, 过程和技术). 制定相应的计划，争取管理层的支持. 然后实施适当的技术和过程，如果它将风险降低到组织可接受的水平.

我们都希望明升体育app下载员工永远不会危及公司的安全, 但它确实发生了. 即使您的特权用户访问网络的完整性, 还有其他人在那里等待并希望您的特权用户会出错, 这样他们就可以溜进去了.