Trong bất kỳ tổ chức nào, có một số tài khoản nhất định được chỉ định là đặc quyền. Các tài khoản đặc quyền này khác với các tài khoản người dùng tiêu chuẩn ở chỗ chúng có quyền thực hiện các hành động vượt quá những gì người dùng tiêu chuẩn có thể làm. Các hành động khác nhau tùy theo bản chất của tài khoản nhưng có thể bao gồm bất kỳ điều gì, từ thiết lập tài khoản người dùng mới đến tắt các hệ thống quan trọng.
Tài khoản đặc quyền là công cụ cần thiết. Nếu không có các tài khoản này, nhân viên CNTT sẽ không thể thực hiện công việc của mình. Đồng thời, các tài khoản đặc quyền có thể đe dọa nghiêm trọng đến an ninh của tổ chức.
Thêm rủi ro về tài khoản đặc quyền
Hãy tưởng tượng trong giây lát rằng một hacker quản lý để đánh cắp mật khẩu của một người dùng tiêu chuẩn và có thể đăng nhập với tư cách là người dùng đó. Mặc dù tại thời điểm đó, hacker sẽ có quyền truy cập vào một số tài nguyên nhất định, nhưng chúng sẽ bị hạn chế bởi các đặc quyền của người dùng (hoặc thiếu các đặc quyền đó). Nói cách khác, tin tặc sẽ có thể duyệt Internet, mở một số ứng dụng và truy cập email của người dùng, nhưng đó là về điều đó.
Rõ ràng, tài khoản của người dùng bị xâm phạm là một vấn đề lớn, nhưng có giới hạn cho những gì một hacker có thể làm khi sử dụng tài khoản đó. Tuy nhiên, điều tương tự cũng không thể xảy ra đối với một tình huống trong đó một hacker có được quyền truy cập vào một tài khoản đặc quyền. Một hacker có quyền truy cập vào một tài khoản đặc quyền sẽ kiểm soát các tài nguyên CNTT của nạn nhân.
Điều này có một chút khó khăn đối với những người được giao nhiệm vụ giữ an toàn cho tài nguyên CNTT của một tổ chức. Một mặt, các tài khoản đặc quyền cần thiết để thực hiện các tác vụ quản trị hàng ngày. Mặt khác, chính những tài khoản đó lại là một mối đe dọa hiện hữu đối với an ninh của tổ chức.
Loại bỏ tổ chức các tài khoản đặc quyền của bạn
Một cách mà các tổ chức đang làm việc để loại bỏ những nguy hiểm liên quan đến các tài khoản đặc quyền là thông qua việc áp dụng bảo mật bằng không tin cậy. Bảo mật bằng không tin cậy là một triết lý về cơ bản nói rằng không có gì trên mạng nên đáng tin cậy trừ khi nó được chứng minh là đáng tin cậy.
Triết lý này cũng đi đôi với một triết lý CNTT khác được gọi là Người dùng ít truy cập nhất (LUA). LUA đề cập đến ý tưởng rằng người dùng chỉ nên có các đặc quyền tối thiểu cần thiết để họ thực hiện công việc của mình. Triết lý tương tự này cũng áp dụng cho các chuyên gia CNTT.
Kiểm soát truy cập dựa trên vai trò thường được sử dụng để giới hạn các tài khoản đặc quyền có thể thực hiện một chức năng đặc quyền rất cụ thể hơn là có toàn quyền truy cập không hạn chế vào toàn bộ tổ chức.
Các tùy chọn quản lý quyền truy cập đặc quyền
Một cách khác mà các tổ chức đang hạn chế tài khoản đặc quyền là áp dụng giải pháp Quản lý quyền truy cập đặc quyền. Quản lý truy cập đặc quyền, hoặc PAM như nó thường được gọi, được thiết kế để ngăn chặn các tài khoản đặc quyền bị tội phạm mạng khai thác.
Có một số nhà cung cấp công nghệ khác nhau cung cấp các giải pháp PAM và tất cả chúng đều hoạt động hơi khác một chút. Tuy nhiên, thông thường, các tài khoản thông thường sẽ có đặc quyền bị hạn chế theo cách khiến chúng hoạt động giống như một tài khoản người dùng tiêu chuẩn. Nếu quản trị viên cần thực hiện một hoạt động đặc quyền (một tác vụ yêu cầu đặc quyền nâng cao), quản trị viên phải yêu cầu những đặc quyền đó từ hệ thống PAM. Khi làm như vậy, quyền truy cập đặc quyền được cấp, nhưng trong một khoảng thời gian rất hạn chế và quyền truy cập chỉ đủ để thực hiện tác vụ được yêu cầu.
Mặc dù PAM hạn chế các tài khoản đặc quyền theo cách làm giảm nguy cơ các tài khoản đó bị lạm dụng, điều quan trọng vẫn là bảo vệ mọi tài khoản đặc quyền để ngăn chúng bị xâm phạm.
Mang lại một lớp bảo mật bổ sung
Cho dù bạn đang triển khai zero-trust hay giảm tỷ lệ lạm dụng cho các tài khoản đặc quyền, bộ phận trợ giúp của bạn là một điểm cuối rủi ro cần một lớp bảo mật bổ sung. Một cách để làm điều này là sử dụng Specops Secure Service Desk, được thiết kế để ngăn tin tặc liên hệ với bộ phận dịch vụ và yêu cầu đặt lại mật khẩu trên tài khoản đặc quyền (hoặc bất kỳ tài khoản nào khác) như một cách để có được quyền truy cập vào tài khoản đó.
Bộ phận Dịch vụ Bảo mật cho phép người dùng đặt lại mật khẩu của riêng họ, nhưng nếu ai đó liên hệ với bộ phận trợ giúp để đặt lại mật khẩu, phần mềm Bộ phận Dịch vụ Bảo mật sẽ yêu cầu xác minh danh tính của người gọi trước khi cho phép đặt lại mật khẩu. Trên thực tế, kỹ thuật viên bộ phận trợ giúp thậm chí không thể đặt lại mật khẩu của người gọi cho đến khi quá trình xác minh danh tính hoàn tất.
Quá trình này liên quan đến việc kỹ thuật viên bộ phận trợ giúp gửi mã một lần đến thiết bị di động được liên kết với tài khoản. Khi người gọi nhận được mã này, họ sẽ đọc lại cho kỹ thuật viên bộ phận trợ giúp, người này sẽ nhập mã này vào hệ thống. Nếu mã chính xác, thì kỹ thuật viên có khả năng đặt lại mật khẩu của tài khoản.
Cũng cần lưu ý rằng Specops Secure Service Desk phù hợp hoàn hảo với các sáng kiến không tin cậy vì những người gọi trợ giúp đang yêu cầu đặt lại mật khẩu được coi là không đáng tin cậy cho đến khi danh tính của họ được xác nhận. Bạn có thể dùng thử miễn phí Specops Secure Service Desk trong Active Directory của mình tại đây.
.
