在组织能够处理特权用户内部威胁并实施正确的监视和缓解最佳实践之前, 它必须首先定义特权用户. 通常，这是一个有权访问公司敏感数据的员工. 他们通常拥有在组织网络上执行管理任务的许可. 公司需要有特权的用户来处理源代码, 维护文件系统，实现网络升级或其他技术变更.

大多数特权用户将维护其组织资产的完整性. 然而, 它们可以轻松绕过通常受到限制的控制，这使得这些资产变得脆弱. 此外，偶尔会滥用执行任务所必需的临时访问特权. 有两种方法确定特权用户访问:

1. 考虑用户可以物理访问的内容
2. 考虑用户可以通过凭据进行数字访问的内容

更多的访问和更少的控制带来了更多的安全挑战. 当一个组织缺乏一个好的安全程序或没有持续地执行它时, 这使得知识产权——比如敏感的产品数据或员工信息——容易受到特权用户的威胁.

事实上, 注册欺诈审查员协会 (ACFE)指出，平均每年，组织因其员工欺诈而损失5%的收入. 通常, 它是由一个组织的it部门的人负责的, 因为他们拥有其他员工所缺乏的更多技术知识. 然而，重要的是要记住，违规者可能并不总是特权用户. 可能是组织外的某个人通过网络钓鱼获得了It员工的证书.

波耐蒙研究所的报告《明升app》 & 内幕的威胁,发现，大多数组织都难以识别与内部人员行为相关的可信威胁. 其中，69%的人表示，他们无法在黑客入侵之前识别出这种威胁. 此外, 该报告发现，42%的受访者不相信他们能够辨别他们的特权用户是否符合政策——只有16%的人对这些领域非常有信心.

特权用户威胁的危险信号可能很微妙. 其他的更明显. 下面是一些例子:

• 试图进入一个不允许进入的区域.
• 以一种他们通常不使用的方式使用凭证(例如.g. 网络登录).
• 利用通常发生在调动和离职员工之间的“许可蔓延”.

那么一个组织如何保护自己呢? 通过监视人的行为，确定特权用户的上下文和意图. 通过实施正确的策略，可以通过深度防御方法实现监视, 控制和技术. 如果安全监控到位并持续执行, 企业将迅速知道是否存在需要采取行动的事件.

定义了特权用户并确定了环境的潜在威胁签名之后, 你应该实现控件, 降低风险的政策和技术. 考虑以下:

1. 将公司内的特权用户帐户限制为那些需要它的职位-包括共享特权用户帐户和本地管理员权限. 这一步需要定期监视，以跟踪身份验证尝试的性质.
2. 让关键人员同意所有权限. 在理想的情况下, 在请求访问时，应由员工命令链中的某个人批准.g. 直接主管). 在票务系统中正式记录访问请求. 要求提交访问请求以及访问的业务理由.
3. 给员工一个清晰的蓝图，指导他们通过安全流程, 所以没有误解或滥用的余地. 流程应该包括:a)沟通和执行严格的帐户管理和密码策略, b)确保他们在完成每个任务后正确地注销特权用户帐户，并且只访问与他们的工作相关的区域. 令人惊讶的是, 波耐蒙的报告还发现，65%的受访者钻研敏感或机密数据是出于好奇心，而不是工作需要. 另外, 所有人员——无论他们是否是特权用户——都应接受培训，并定期提醒他们避免将敏感数据转发到个人电子邮件中.
4. 投资正确的技术来保护您的组织，并采取多层次的方法. 单一技术不能完全保护您的组织. 考虑实现以下部分:特权帐户管理(PAM)——它使企业能够控制特权共享帐户的使用，如root/管理员帐户. PAM允许细粒度的、上下文驱动的或有时间限制的超级用户特权. 它还更详细地监视共享帐户使用和超级用户特权. 如果配置和监控正确，安全信息和事件管理(SIEM)系统可以通知组织未经授权的数据访问. 它可以基线行为和注意偏差(i.e. 访问特权用户过去没有访问过的一个区域). 记住，SIEM并不能阻止真正的入侵. 数据治理解决方案能够确定用户当前的访问权限，并就用户的实际访问权限提出智能建议. 数据治理解决方案还可以分析文件系统权限，并在当前为具有访问权限而定义的用户和组没有访问资源时，就从文件资源中删除访问提出额外的智能建议.
5. 争取人力资源来支持你的努力. 可以采取步骤来增强特权用户访问安全性. 它们包括保密协议、竞业禁止协议和背景调查. 上述报告发现，57%的受访者表示，在发放特权账户凭证之前没有进行背景调查. 主动进行这些检查可以很容易地减少威胁范围，并符合支付卡行业数据安全标准(PCI-DSS)的双重目的。, 联邦信息安全管理法(FISMA)和萨班斯奥克斯利法案(SOX)法规. 更进一步，对求职者进行更彻底的面试.e.——打电话给推荐人，询问更具体的问题等等.)可以进一步减少潜在的威胁.
6. 发生特权用户内部事件时，立即采取行动.  当一个被识别出来, 应打开带有相关信息(适用日志)的事件跟踪单, 例如). 它应该被分配到帮助台或安全团队进一步调查. 人们甚至可能发现，除了特权用户之外，其他人通过黑客技术访问了他或她的登录凭证.

尽管大多数组织都有适当的政策和程序, 很多人都不会定期遵守. 至少，应该每年审查特权用户的访问权限. 审查可以确定是否向不需要访问权限的用户授予访问权限，以及是否应该由于滥用或更改工作角色而取消访问权限.

上面已经重点介绍了几种可以减少特权内部威胁的技术和流程. 然而，许多组织并不重视这些技术和过程. 不幸的是，只有不到一半的国家将预算用于能够减少此类威胁的技术. 经常, 管理层甚至没有看到确保权限严格的价值——当前的安全体系结构可能没有设置这些安全措施.

此外, 一些有互联网业务的机构选择购买网络保险，以防受到损害. 然而, 保险公司很少要求这些组织负责实施技术和流程，以防止公共伤害/其他违规行为. 许多人只是认为它不够重要，不值得实施或实施.

它使人们明白，自满会导致问题. 尽管技术不能解决所有问题或减轻所有威胁, 这可以大大减少它们的数量, 特别是如果技术的实施是经过深思熟虑的，并且一直受到监控的话.

作为起点，所有组织都强烈鼓励进行风险评估. 风险评估将有助于确定特权用户内部威胁, 同时也能更清晰地说明哪些控制缺失，哪些政策需要改进.

一旦它完成, 你可以更好地制定一个覆盖所有区域(人)的安全计划, 流程和技术). 相应地制定计划并获得管理层的支持. 然后实施适当的技术和过程，如果它能将风险降低到组织可接受的水平.

我们都希望明升体育app下载员工永远不会危及我们组织的安全, 但这确实发生了. 即使您的特权用户能够完整地访问网络, 还有一些人只是在等待，希望您的特权用户会出错, 这样他们就能溜进去了.