特权账号管理系统产品介绍

HaiYi-PAS介绍特权账号生命周期管理徐浩平xuhaoping@haiyisec.com目录contents特权账号管理为什么很重要01安全热点事件与合规性要求02HaiYi-PAS解决方案介绍03特权账号管理为什么很重要脆弱点、突破口、末道防线与命门0101什么是特权账号各类主机操作系统的管理账号，如AIX、WINDOWS、LINUX……各类数据库系统的管理账号,如ORACLE、SQLSERVER、DB2……各类中间件系统管理账号：如WEBSHPERE、WEBLOGIC、TOMCAT（连接池账号、WebConsole）……各种设备的管理账号,如路由器、交换机、VPN、工业设备……各种安全系统和设备管理账号：防火墙、入侵检测、防病毒……应用系统内嵌账号：应用系统源码、配置文件、中间件中的数据库访问账号、API接口账号、WebConsole……业务前台管理账号：核心业务系统前台的管理账号、批量数据下载账号、用户管理账号……IT运维情景运维人员A：密码复杂太难记了，设备又多，记不住怎么办，还是用简单点吧。运维人员B：简单的密码容易让别人知道，用什么好呢，对了，就用公司域名加XX吧。运维人员C：设备这么多，密码复杂一点也没有关系，我可以一套密码通杀所有机器。运维人员D：密码账号都是历史留下来的，上任运维人员和第三方人员交接来交接去就到我手里了，有多少未知账号我也不清楚。安全人员E：设备上面有十几个账号，我也不清楚是谁在用，用来干嘛！来自乌云的统计：2015年3月，漏洞数量突破10万！“基础设施弱口令”的漏洞已经接近1万个，有很多漏洞都可能对金融、运营商、交通、能源行业有巨大的风险。默认配置：操作系统、数据库、中间件、应用程序、网络设备、ftp默认账号/默认口令Administrator/administrator，admin/admin，sa/sa，weblogic/weblogic，cisco/cisco。。。人性弱点：“中国互联网用户喜欢用的弱口令排行，请对号入座”，“1230613W泄漏密码，弱口令top100出炉，尽量避免使用这些密码”，强密码策略制度形同虚设。管理漏洞：运维人员流动率大，第三方人员知晓账号口令，多个运维人员共用账号，历史遗留问题多。03特权账号的脆弱点账号、口令管理不是靠人力和制度能做好的事情04数据中心的突破口黑客攻击情景黑客思维：在踩点的过程中，对弱口令的尝试是必不可少的过程，从XX抓鸡到内网哈希批量传递，从个人PC到数据中心设备，只要依旧采用密码认证，密码扫描就不会被遗忘。黑客工具：Hydra：在线各种服务账号密码猜解，Johntheripper：离线破解哈希，BurpSuite：在线密码枚举，Metasploit：各种辅助测试脚本，批量的自动化攻击工具。企业安全残酷定律：以大多数企业对安全的认知之低根本就轮不到拼技术，以大多数开发运维管理员的惰性根本就轮不到拼漏洞，由弱口令引发的血案层出不穷。撞库：通过已收集到的在其他服务中注册的用户名和密码，对目标设备进行访问尝试，由于很多人习惯用相同的密码和账号，因此成功登录到目标设备的可能性大大提高。暴力破解：通过数据字典（密码库）对目标设备的账号密码进行碰撞，最终碰出可以用于访问设备的账号密码组合。内网嗅探：内网嗅探技术具有很强的隐蔽性，黑客一旦进入内网，Sniffer可以记录到明文传送的userid和passwd，即使网络传输过程中使用了加密的数据，黑客也能进行离线破解。最省时、省力、隐蔽的突破方法一个弱口令撕开一个大口子05末道防线获取特权账号是黑客成功的必要条件安全边界已经不足已防御APT“高级持续性威胁APT首先尽各种可能找到可以利用的特权账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。账号安全HaiYi-PAS纵深防御SOC/审计威胁检测IDS/IPS边界安全FW/WAF终极目标：特权账号安全边界威胁检测纵深防御核心数据层层突破06通往数据中心的命门拥有特权账号的黑客可以做任何事情PowerPlants,FactoryFloorsWiFiRouters,SmartTVsRouters,Servers,Databases,Applications一旦黑客拿到特权账号，一切安全防护措施形同虚设Laptops,Tablets,Smartphones•绕过防火墙、入侵防御设备、病毒网关•潜伏内网、访问敏感、机密数据•造成业务中断•物理破坏………..Routers,Firewalls,Hypervisors,Databases,Applications07特权账号在安全架构中的地位热点安全事件与合规要求0201热点安全事件•谁有特权帐号的访问权限？–管理员–承包商；云服务提供者–数据库管理员–离职员工–应用程序•这些破坏为何会发生？–共享帐号的使用–过多的特权，权限过于集中–“隐藏/休眠”幽灵帐号–不存在/非强制的访问控制–不经常修改的密码–特权会话没有有效隔离–2013年11月27日，阿里巴巴旗下支付宝的前技术员工李某，利用工作之便，在2010年分多次在公司后台下载了支付宝用户的资料，资料内容超20G。李某与两名同伙，将用户信息多次出售给电商公司、数据公司。–2013年7月，棱镜门/斯诺登事件，诺登披露的文件，美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。04合规性的要求-银监会监管–第一百二十三条商业银行应当对计算机信息系统实施有效的用户管理和密码（口令）管理，对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制–第一百二十四条商业银行应当对计算机信息系统的接入建立适当的授权程序，并对接入后的操作进行安全控制–第一百一十八条商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责，做到岗位之间的相互制约，各岗位之间不得相互兼任–第二十二条商业银行应建立有效管理用户认证和访问控制的流程。并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。–第二十五条（三）制定最高权限系统账户的审批、验证和监控流程，并确保最高权限用户的操作日志被记录和监察–第二十六条（三）加强职责划分，对关键或敏感岗位进行双重控制。–第三十五条商业银行应制定相关控制信息系统变更的制度和流程，除得到管理层批准执行紧急修复任务外，禁止应用程序开发和维护人员进入生产系统，且所有的紧急修复活动都应立即进行记录和审核。银监会监管银监会[2007]6号《商业银行内部控制指引》银监会监管银监会[2009]19号《商业银行信息科技风险管理指引》信息安全等级保护相关监管要求–应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度，应记录审批过程并保存审批文档。–身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换。–应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。–应及时删除多余的、过期的帐户，避免共享帐户的存在。–应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监督，并登记备案。等保监管信息系统安全等级保护基本要求（GBT22239-2008）等保监管–由系统控制的敏感数据，如口令、密钥等，不应在未受保护的程序或文档中以明文形式存在。–系统应提供一种机制，能按时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进入系统数据库管理系统安全技术要求（GBT20273-2006）05合规性的要求-等级保护HaiYi-PAS解决方案介绍0301保护特权凭据的难度在哪里？技术挑战数量多、难以定位难以有效管理缺乏控制手段HardtoseewhataccountsexistandwhohasaccesstothemDifficulttosecureandrotateprivilegecredentials,despitebestpracticesUnabletoseewhoisdoingwhatwithwhichaccounts;unabletocontrolactivities业务风险数据泄露的风险合规性风险、审计风险Static,unmanaged,unmonitoredprivilegedaccountscanleaveorganizationsvulnerabletoattacksManyregulationsrequireorganizationstomanageprivilegedcredentialsandmonitorprivilegedactivity基础技术平台主动管控组件特权威胁分析04HaiYi-PAS系统组件HaiYi-PAS为特权用户的身份管理和访问控制提供一体化的解决方案。企业密码保险库特权会话管理应用身份管理按需分配特权管理WEB门户主策略管理器安全数字保险库特权威胁分析保护监控响应SSHKey管理账号扫描引擎动态数据脱敏05特权的全生命周期审批流程安全策略访问账号报告访问控制账号采集提供使用DR服务器PROVIDER邮件服务器动态口令服务器电子签名同步账号管理访问控制目标设备Telnet|SSH|RloginFTP|SFTP|WinTerm应用系统网络设备数据库主机生命周期密码账号非法账号日志/审计会话控制访问控制命令控制管理员员工第三方离职员工基础认证多因素认证外部认证OTPPKIBioSmartCardLDAPSSORADIUS单一用户界面认证用户。。。ID/PWIP/MAC。。。HaiYiPASHaiYiPAS应用内嵌特权密码和SSH密钥专业的数字保险库锁定所有特权账户防止恶意软件监控特权会话对被盗用的特权账户采取及时措施例如自动实时更改密码以避免更多损失特权会话隔离和控制持续监控特权行为并发出报警全面覆盖任何层面的特权账户覆盖任何特权账号08统一界面、统一流程09‘访问管理’&‘身份管理’使用直观的统一用户界面、统一流程，强调用户便捷性.21强大的目标支持能力•AD•SunOne•Novel•UNIXKerberos•UNIXNIS数据库CentralPolicyManager操作系统安全设备网络设备目录服务器远程控制和监控系统应用通用接口•Windows•Unix/Linux•AS400•OS390•HPUX•Tru64•NonStop•ESX•OVMS•Oracle•MSSQL•DB2•Informix•Sybase•MySQL•AnyODBC•FW1,SPLAT•IPSO•PIX•Netscreen•FortiGate•ProxySG•Cisco•Juniper•Nortel•Alcatel•Quntum•F5•HMC•HPiLO•ALOM•DigiCM•DRAC•SSH/Telnet•ODBC•WindowsRegistry•Conffile•Textfile•SAP•WebSphere•WebLogic•Windows:•Services•ScheduledTasks•IISAppPools•IISAnonymous•COM+•OracleApplicationERP•SystemCenterConfigurationManager•Databasecolumns企业IT环境Web应用23特权会话管理网络设备主机Mainframes数据库应用安全设施Websites/WebApps云设施特权会话管理企业资源终端用户WEB门户特权会话管理器*LayeredwithEnterprisePasswordVault24应用身份管理网络设备主机Mainframes数据库应用安全设施Websites/WebApps云设施安全存贮密码和SSH密钥更替*****应用身份管理企业资源应用WebSphereWebLogicIIS/.NETLegacy/HomegrownUserName=“app”Password=“y7qeF$1”Host=“10.10.3.56”Conne