如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之五:账户管理

作者:Sender Su  来源:原创内容  发布日期:2022-04-01  最后修改日期:2022-03-31

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  CIS系列文章已经发布了5篇,分别是:
从甲方角度介绍“CIS互联网安全中心”
如何应用CIS关键安全控制措施集之一
如何应用CIS关键安全控制措施集之二
如何应用CIS关键安全控制措施集之三
如何应用CIS关键安全控制措施集之四

  以上四篇文章的微信公众号链接见下:

《从甲方角度介绍“CIS互联网安全中心”》
《如何应用CIS关键安全控制措施集之一》
《如何应用CIS关键安全控制措施集之二》
《如何应用CIS关键安全控制措施集之三》
《如何应用CIS关键安全控制措施集之四》

  继《从甲方角度介绍“CIS互联网安全中心”》、《如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一》等一系列介绍文章之后,本期继续介绍CIS关键安全控制措施集,CIS Critical Security Controls (CIS Controls)控制措施05:账户管理。

  控制措施05:账户管理

  包含有6个细项,IG1前4项,IG2全6项,IG3全6项。

  这6项分别是:

  5.1 建立并维护企业中所有被管理的账户的清单。清单必须同时包括用户账户和管理员账户。清单中至少应包含人员的姓名、用户名、开始/停止使用日期和部门。至少每季度或更高频次地验证所有活跃的账户都经过授权。

  5.2 对所有企业资产使用唯一的密码。最佳实践是:使用多因素验证(MFA)时最短8个字符的密码,不使用多因素验证时最短14个字符的密码。

  5.3 删除或禁用任何休眠账户,如果账户持续45天不活跃。

  5.4 将管理员权限限制到仅专用的管理员账户具备。用户的主要、非特权账户只执行通常的计算活动,如浏览互联网、收发电子邮件和使用生产力套件。

  5.5 建立和维护服务账户的清单。清单至少必须包含部门所有者、审核日期和开设目的。至少每季度或更高频率地复审服务账户清单,以验证所有活动账户都被适当授权。

  5.6 通过目录或身份识别服务进行集中化账户管理。

  使用流程和工具分配和管理用户账户,包括管理员账户和服务账户,在企业资产和软件上的授权过程。

  用户凭据是必须参照企业资产和软件进行清点和跟踪的资产。因为它们是进入企业的主要入口点。应制定适当的密码复杂度策略和定期更换密码、不重用旧密码的工作指引。

  有关密码创建和使用的指导,可参考CIS密码策略指南:

https://www.cisecurity.org/white-papers/cis-password-policy-guide/

  用户账户是需要被跟踪的。任何休眠的账户都必须禁用并最终从系统中删除。应进行定期的审计,以确保所有的活动账户都能追溯到该企业资产的授权使用人。要排查每次内部复审后添加的新账户,特别是管理员和服务账户。应密切注意识别和跟踪管理员账户、高特权账户和服务账户。

  具有管理员或其他特权权限的用户,应该为其分配单独的账户去执行这些更高权限的工作任务。这些单独的账户只应在执行这些高权限任务或访问特别敏感的数据时使用,以降低其正常账户被入侵的风险。对于拥有多个账户的用户,其日常用于非管理任务的基本账户不应该具有任何提升的权限。

  当企业内部部署了许多应用系统,包括云应用时,启用单点登录(SSO)是方便和安全的做法。这有助于减少用户必须管理的密码数量。另外,可以建议用户使用密码管理器应用程序来安全地存储其密码,并建议用户不要将密码保存在电脑上的电子表格或文本文件中。建议用户在远程访问企业资产时使用多因子验证方式(MFA)。

  系统登录后的用户,在一段时间的不活跃后应能自动退出系统,并训练用户在离开设备时锁定屏幕,以尽量减少用户周边的人员窥探用户在用的系统、应用程序或数据的可能性。

  可以参考 NIST® Digital Identity Guidelines

https://pages.nist.gov/800-63-3/

  对于外部或内部的威胁行为者来说,通过使用有效的用户凭证比通过“黑客”方式更容易获得对企业资产或数据的未经授权的访问。

  有很多方法可以秘密获取访问用户账户,包括:弱密码,用户离开企业后仍然有效的账户,休眠或持续使用的测试账户,长时间不改变的共用账户,直接把服务账户嵌入应用程序脚本,用户的本地密码和在线服务的密码相同而该在线服务的密码已被纳入穷举字典范围或已经被拖库,通过社会工程方式诱骗用户给出其密码,使用恶意软件捕获用户密码或网络、内存中传输的令牌等等。

  管理账户或高度特权账户是一个特定的目标,因为它们允许攻击者添加其他账户,或对资产进行更改,使其更容易受到其他攻击。

  服务账户也很敏感,因为它们经常在团队内部和外部共享而无人知晓,直到进行账户管理审计时才发现。

  最后,账户日志记录和监控是安全操作的关键组成。虽然在CIS控制措施8(审计日志管理)中已经涵盖了账户日志记录和监控。在这里依然要强调在开发全面的身份和访问管理(Identity and Access Management, IAM)程序时,这是非常重要的要点。

本栏目相关
  •  2024-07-06 解读即将实施的 GB/T 43698-2024 《网络安全技术 软件供应链安全要求》(上篇)
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-03-28 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之一:总览
  •  2023-01-06 MSSQL数据库自动备份和自动复制转移备份
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: