BeyondTrust的通用权限管理方法跨密码、端点和访问保护权限,为企业提供降低风险、实现法规遵从性和提高运营绩效所需的可见性和控制。在这次采访中,首席技术官(CTO)和首席信息安全官(CISO)Morey Haber介绍了特权访问管理(PAM)的基本原理,并概述了一些有助于确保组织安全的有趣策略。请描述一下BeyondTrust的故事
BeyondTrust是特权访问管理领域的领导者。我们希望彻底改变世界上使用特权访问管理来保护特权、凭证、机密等的方式。我们有一系列集成解决方案,从密码技术到管理权限的端点删除,一直到安全的远程访问技术,确保在适当时管理、监控或删除任何特权帐户。你在公司里的角色是什么
I是BeyondTrust的首席技术官和首席信息官。作为一名首席技术官,我监督公司的高层战略和我们生产的产品。我也是该公司的首席信息官,负责为客户生产的产品的内部安全和云安全。
双重CTO/CISO角色很有趣。我帮助设计或指定产品在特权访问管理空间中应该做什么,但我们也在内部使用这些产品来保护我们自己的安全。它提供了一个很好的循环来验证我们的解决方案是否有效。双重角色为我提供了一个独特的视角,对我与客户和潜在客户的对话非常有益。
你如何向不熟悉零信任概念的人解释它
零信任的概念并不新鲜。零信任安全模型本质上表明,不会基于本地帐户或已分配的其他类型的特权授予访问权限。相反,我们首先评估用户、应用程序等允许或不允许做什么。上下文可能是您所在的网络连接、您的权限、您使用的设备类型以及其他环境因素。
当通过零信任模型代理对应用程序的连接、会话或访问时,策略引擎决定允许您进行身份验证,并且您的授权应遵循最小特权原则(PoLP)。这意味着你只能做你应该做的事情,而且只能完成合法活动所需的有限时间。
您在会话期间的行为将受到监控,以查找不适当或潜在的恶意活动。如果您的系统被劫持,并且您的帐户试图对资源进行恶意操作,它可能会采取适当的操作来断开帐户并终止进程。所有会话活动都记录在日志中,无论是以IO日志的形式,还是以屏幕记录的形式,以便将来进行取证或转录。
在特权访问管理的环境中,零信任是根本。Zero trust倡导取消长期特权帐户和始终在线帐户,即使用户从未建立连接,这些帐户也具有管理员权限。长期账户中特权的持续存在是一种攻击向量,随时可能被利用。
当您对这些特权帐户应用特权访问管理时,管理员以及任何其他需要访问的特权用户将根据一组条件进行评估,例如:
他们是否需要访问特定资源才能完成工作?这是一个合适的工作时间吗?他们来自授权的连接吗?
当满足置信阈值时,建立连接。特权帐户是最敏感的帐户。BeyondTrust希望确保根据所有条件采取适当的行动,并对访问进行监控和适当的协调。你如何在安全性和可用性之间取得平衡
当你有一个合适的零信任架构(ZTA)时,这是一种部署有助于实现零信任的工具的方式,你实际上可以提高效率。这是BeyondTrust带来的好处之一。
例如,如果具有本地管理权限的用户在端点上操作,则恶意软件或勒索软件利用这些权限感染系统的风险很高。最好的做法是删除管理员权限,使其成为标准用户。然而,通过这样做,添加打印机、更改时钟、更新或安装新软件等操作都将停止工作,从而导致糟糕的用户体验。
P所以,公司所做的是应用辅助管理员凭据或其他类型的本地权限,这样当UAC弹出时,这些辅助凭据将被应用。虽然这样做有效,但也存在安全风险,因为这意味着每个人都有两个帐户。其中一个帐户是本地管理员,恶意软件仍然可以通过击键日志或请求升级并感染系统来抓取该帐户。最好的做法是完全删除管理员权限,但根据需要提升应用程序。当用户运行需要管理员权限的程序时,应用程序将被提升,而不是运行它的最终用户。这就是我们所说的最低权限端点管理。它的概念是有一个代理和一个基于规则的引擎来声明哪些程序需要升级,并相应地更改安全令牌。
当对其应用零信任体系结构时,控制平面和数据平面是分开的。您的管理员和策略引擎现在正在评估此人是否具有正确的凭据。这种评估标准的一个例子可能是:他们是否在受信任的计算机上?他们是在家工作还是在办公室?有变更控制的票吗?
他们是否回答了为什么要执行所需的操作,例如安装工具?
一旦满足标准,身份和帐户关系将得到确认,并使用最低权限模型提供访问权限。行为受到监控,子进程等操作受到限制,以符合零信任。这实际上提高了效率,因为当最终用户运行一个程序时,它只是运行,而不管它是否需要提升,并且没有辅助凭证。所有安全监控功能都内置在后台,对最终用户是透明的。BeyondTrust如何与第三方应用程序交互
BeyondTrust可与多种第三方应用程序交互。我们有两种主要类型的集成类。
第一种类型的集成是与外部供应商的集成,我们必须与这些供应商共享数据或进行身份验证,以验证或更改控制票据。我们有一个广泛的连接器和集成库,用于创建整个工作流,包括各种工具,如ServiceNow、McAfee,以及您可以在我们的网站上看到的其他工具。
第二种形式的BeyondTrust集成适用于内部使用我们产品的平台。例如,我们的密码安全技术存储并自动循环密码,以提供签入/签出体验,确保凭证不会过时。即使由于恶意软件击键记录或某种类型的钓鱼行为,威胁行为人获得了密码,它也会因为轮换而很快失效。
我们的技术能够找到目标,从操作系统到数据库,甚至应用程序、云资源和基础设施,然后登录它们并定期轮换凭证。该解决方案甚至保留了以前凭据的安全记录,以防备份需要访问或进行灾难恢复。
您认为用户隐私的最新发展会对您的业务和行业产生怎样的影响
数据隐私的变化对BeyondTrust以及许多其他公司产生了很大的影响。
重要的是要理解数据安全和数据隐私是两件不同的事情。数据隐私是对敏感信息的保护,您可能有权也可能没有权限查看或收集这些信息。记住这一点,如果你有敏感数据,你需要确保它只在适当的区域内被适当地使用。人们可以围绕访问建立适当的范围,以涵盖隐私法和关注事项。实际的实现是数据安全——从数据保留到模糊处理的一切都适用于数据隐私,但对任何类型数据的总体保护都将是数据安全的一部分。
I建议组织将数据隐私和数据安全分开,并清楚地理解它们之间的差异。然后,当您进行数据映射和发现时,您会发现数据隐私方面的解决变得简单得多。
您认为组织在安全方面犯的第一大错误是什么?如何避免
在安全性方面,组织犯的第一个错误是认为这种情况不会发生在他们身上。人们似乎认为他们是不可战胜的,不能被攻破,因为他们有足够的防御。事实上,现代安全威胁,从供应链和供应商到漏洞,到特权攻击,再到基于身份的攻击和网络钓鱼,正变得日益复杂。
我们必须摆脱这种否认心态,认识到我们使用的工具只会将风险降至最低。我们可以努力降低网络风险——但永远不能完全消除它。因此,我的建议是,要做好准备,以防违约,因为它会发生。
你需要有一个适当的事件应对计划:
知道在当局、执法等方面通知谁。
知道你的法律义务是什么