KONTROLA CIS 5: ZARZĄDZANIE KONTAMI 0
KONTROLA CIS 5: ZARZĄDZANIE KONTAMI

KONTROLA CIS 5: ZARZĄDZANIE KONTAMI

Wiedza o tym, kto ma dane uwierzytelniające, w jaki sposób są one przyznawane i jak są wykorzystywane, stanowi podstawę każdego bezpiecznego środowiska. Zaczyna się to od kont użytkowników i używanych przez nich poświadczeń. Prowadzenie dokładnej inwentaryzacji wszystkich kont i weryfikacja wszelkich zmian na tych kontach jako autoryzowanych i zamierzonych lub niezamierzonych ma pierwszorzędne znaczenie dla stworzenia bezpiecznego środowiska, w tym kont usługowych.

Ustanowienie i utrzymanie widoczności wszystkich kont może chronić zasoby na wiele sposobów. Jeśli przeciwnik jest w stanie zaatakować z innego wektora, którego nie mamy wglądu, np. poprzez nową lukę zero-day lub udany atak phishingowy, może on najpierw podjąć próbę zapewnienia trwałości, a jednym z najczęstszych sposobów utrzymania trwałości jest dodanie lub modyfikacja konta. Jeśli dobrze zarządzamy kontami, możemy być w stanie wykryć atak zanim będzie on w stanie ustanowić trwałość, nawet jeśli początkowym wektorem ataku nie było samo konto (np. atak brute force).

Zarządzanie kontami obejmuje również wymagania dotyczące haseł, blokowanie przy nieudanych próbach logowania, wylogowywanie po okresie bezczynności, a także nieużywanie domyślnych haseł i nieudostępnianie kont. Konta uprzywilejowane powinny być używane tylko do zadań, które tego wymagają.  

Kluczowe wnioski dla kontroli 5

  • Polityka. Opracuj politykę określającą wszystkie parametry tworzenia konta, w tym siłę hasła, itp.
  • Prowadzenie ewidencji i śledzenie zmian. Stwórz spis kont i wykorzystaj Active Directories lub inne technologie i narzędzia do scentralizowanego zarządzania kontami. Śledź wszelkich zmian na kontach.

Zabezpieczenia dla kontroli 5

5.1) Tworzenie i prowadzenie ewidencji rachunków

Opis: Ustanowienie i utrzymywanie spisu wszystkich kont zarządzanych w przedsiębiorstwie. Spis musi obejmować zarówno konta użytkowników, jak i administratorów. Wykaz powinien zawierać co najmniej imię i nazwisko osoby, nazwę użytkownika, datę rozpoczęcia/zakończenia pracy oraz departament. Weryfikacja, czy wszystkie aktywne konta są autoryzowane zgodnie z powtarzającym się harmonogramem, co najmniej raz na kwartał lub częściej.

Uwagi: Wszystkie konta powinny być kontami ważnymi. Nowe konta i zmiany w istniejących kontach powinny być śledzone i weryfikowane jako legalne uzupełnienia. Należy również kontrolować konta usługowe, aby upewnić się, że są one wykorzystywane wyłącznie zgodnie z przeznaczeniem. Nieautoryzowane utworzenie lub zmiana konta jest często pierwszym zadaniem, jakie wykonuje przeciwnik w celu utrzymania trwałości.

5.2) Używaj unikalnych haseł

Opis: Używaj unikalnych haseł dla wszystkich zasobów przedsiębiorstwa. Najlepsza praktyka obejmuje co najmniej 8-znakowe hasło dla kont korzystających z uwierzytelniania wieloczynnikowego (MFA) oraz 14-znakowe hasło dla kont niekorzystających z MFA.

Uwagi: Nie dotyczy to tylko przedsiębiorstw. Jeśli ponownie użyjesz hasła i dojdzie do naruszenia bezpieczeństwa danych, osoby niepowołane mogą użyć Twojego hasła do innych kont. Zawsze wybieraj unikalne hasła i zawsze zmieniaj hasła domyślne.

5.3) Wyłącz nieaktywne konta

Opis: Usuń lub wyłącz wszystkie nieaktywne konta po okresie 45 dni bezczynności, jeśli jest to możliwe.

Uwagi: Przyszłe naruszenie danych może oznaczać prawdziwe kłopoty, jeśli stare konta nie zostaną wyłączone. Wyłączanie kont może być również automatyczne poprzez tworzenie dat wygaśnięcia konta, jeśli system to obsługuje.

5.4) Ograniczenie uprawnień administratora do dedykowanych kont administratorów

Opis: Ograniczenie uprawnień administratora do dedykowanych kont administratora na aktywach przedsiębiorstwa. Ogólne czynności związane z obsługą komputera, takie jak przeglądanie Internetu, korzystanie z poczty elektronicznej i pakietu biurowego, należy wykonywać z głównego, nieuprzywilejowanego konta użytkownika.

Uwagi: Konta administratora i konta root powinny być używane tylko do zadań, które ich wymagają. Korzystanie z poczty elektronicznej, przeglądarki internetowej itp. powinno zawsze odbywać się z kont nieuprzywilejowanych.

5.5) Zakładanie i prowadzenie ewidencji kont usługowych

Opis: Założenie i prowadzenie ewidencji kont serwisowych. Wykaz ten musi zawierać co najmniej informacje o właścicielu działu, dacie przeglądu i celu. Przeprowadzanie przeglądów kont usługowych w celu sprawdzenia, czy wszystkie aktywne konta są autoryzowane, w sposób powtarzalny, co najmniej raz na kwartał lub częściej.

Uwagi: Śledzenie tego, co dzieje się z kontami, obejmuje konta usługowe, a nie tylko konta użytkowników.

5.6) Centralizacja zarządzania kontami

Opis: Centralizacja zarządzania kontami poprzez katalog lub usługę tożsamościową.

Uwagi: Oznacza to użycie Active Directory i domen lub jakiegoś innego scentralizowanego systemu do zarządzania

Zobacz, jak proste i skuteczne mechanizmy kontroli bezpieczeństwa mogą stworzyć ramy, które pomogą Ci chronić Twoją organizację i dane przed znanymi wektorami cyberataków, pobierając ten przewodnik tutaj.

Autor: JOHN WENNING

Komentarze do wpisu (0)

Wersje językowe
Kategorie blog
Newsletter
Podaj swój adres e-mail, jeżeli chcesz otrzymywać informacje o nowościach i promocjach.
do góry
Sklep jest w trybie podglądu
Pokaż pełną wersję strony
Sklep internetowy Shoper.pl