特權安全管理解決方案

數(shù)據(jù)中心存在的問題建立集中的數(shù)據(jù)中心安全運營管理，向云模式靠攏邏輯上將人與目標設備分離，全局唯一 標識，隱藏設備管理帳號

；將數(shù)據(jù)包圍在數(shù)據(jù)中心，離線數(shù)據(jù)以脫敏或加密的方式存在；通過實施 體系轉變傳統(tǒng)IT安全的 響應模式，建立面向用戶的集中、主動的安全管控模式；現(xiàn)在過去轉變關注數(shù)據(jù)中心安全專網DDoS流量過濾/行為管理IPS

防御區(qū)-數(shù)據(jù)中心數(shù)據(jù)脫敏終端辦公區(qū)IDS

檢測賬號安全管理數(shù)據(jù)中心運維區(qū)邊界內網

交換機邊界安全內網安全基于業(yè)務的審計風險評估與滲透測試IP生命周期管理、接口管理安全大數(shù)據(jù)分析/可視化SOC/4A地市接入?yún)^(qū)開發(fā)第 接入?yún)^(qū)外部DMZ區(qū)Web應用網關數(shù)據(jù)中心交換機ISP1ISP2鏈路LBSDMZ區(qū)開發(fā)測試區(qū)異地容災互聯(lián)單位典型數(shù)據(jù)中心安全視圖2014年國內外安全事件層出不窮①

1月，韓國發(fā)生金融行業(yè)最大規(guī)模

及約2000萬用戶，共1億多條

被個人信息泄密事件，涉，，最多的用戶有19項個人信息被

了，多名高管因此事引咎辭職。②3月23日凌晨，攜程被爆安全支付日志可遍歷量用戶 信息

，其中包括持卡人

、，因此導致大號、號、卡CVV碼、6位卡Bin。③

7月24日，歐洲

遭到網絡開的外部 的數(shù)據(jù)庫，竊取了該行，上1.5億攻破了該行公者的電子郵件在內的和聯(lián)絡人的細節(jié)信息。電子郵件、部分街道地址和部分未加密數(shù)據(jù)被利用。④

9月，

家得寶公司確認其支付系統(tǒng)遭到網絡5600萬張

的信息

，這比去年發(fā)生在，將近有的客戶數(shù)據(jù)

事件還要嚴重。⑤

10月2日

，

大通銀行承認7600萬家庭和700萬小企業(yè)的相關信息被

。身在南歐的 取得、住址、銀行信息也遭到大通數(shù)十個服務器的登入權和電郵地址等個人信息，。受影響者人數(shù)占限，偷走銀行客戶的與這些用戶相關的

人口的四分之一。安全

之APTn.xls”；公司展開進一步A中g

server）遭，攻料并以FTP傳送至遠郵A件PT全，稱附：A件dv名anc為ed

“Per2s0is1t1entRTehcrerautitm其中AP一T是位指員高級工的將持其續(xù)從性，中是取針出對來特定閱讀織，的被多方當時的位的；e是F一la種sh以的商0業(yè)d和ay

（的的C網VE絡-

類1-別0，60通9）命常使用先進的

對特定目標進行長期持續(xù)性的網絡B蔽o等tN特e點t的；C&C服務器的破壞，而是以步步為重每一”個人特物定，目標緊，接不著相管也無理法員通相過一黑次；1.者cur給ID竊R取S案A例的：母公司EMC的4名員工發(fā)送了兩組2011年3月，EMC公司下屬的

公司，部分2.A在PT（拿S高e到c級urS持IeD續(xù)技c性u術r滲I及D述，被

者其

導對致使很用多使Se用curID的3.

SecurID作為認據(jù)

絡的公司受到，重要資料取。持續(xù)性同發(fā)性個人終端突破向量多社工0DAY通道加密緩慢長期社工跳板APT最終的目標就是特權賬號長期竊取控制深度滲透獲取憑據(jù)是成功的必要條件Mandiant,

M-Trends

and

APT1

Report都涉“…100%

的信息及到了憑據(jù)丟失“高級持續(xù)性

APT首先盡各種可能找到可以利用的

賬號，例如：域管理員、具有域權限的服務啟動賬號、本地管理員賬號和擁有業(yè)務

的賬號。新的網絡戰(zhàn)場:在你的內網中超過90％的企業(yè)已經及發(fā)生過安全事件的由“我可以在

停止一切網絡

” 性變?yōu)椤拔也荒芡Ｖ挂磺性诰W絡 ?！本W絡的重點轉移到了關鍵資產的主動防護實時檢測正在進行的70％是要防止安全事件-以及是最昂貴的和意外的

人員“任何人在位于 存取，并擁有 技術能力，就能把 資料找出來”事實不言自明：你也將會受到攻擊及破壞沒有絕對安全性這樣的事情者時刻會變得更加聰明和改變戰(zhàn)術負責任和持續(xù)投資在資訊科技的企業(yè)將繼續(xù)受到影響100%所有的受害者已有的防94%94%的安全事件是由第416416天是APT在未被發(fā)報告出來 現(xiàn)之前已在網絡的 隱藏且活躍的時間100%所有的安全事件會涉及 取的用戶賬號Mandiant,2013帳號“取得你的重要信息必由”資產一旦被 ，所有路向都會通住帳號網絡設備主機數(shù)據(jù)庫SystemsIntegrationPartnersTemporaryStaffCloudServiceProvidersOff

ShoreDevelopersContractorsInternalUsers用戶外包開發(fā)者承包商云服務供應商臨時系統(tǒng)集成商合作伙伴哪一個是攻擊者?哪一個是授權用戶？4大關鍵步驟預防APT先把企業(yè)內的

帳號找出來然后把

帳號妥善地保護及管理比如最小權限控制、職責分離等控制，

和監(jiān)測對于目標服務器和數(shù)據(jù)庫上的使用對

帳號的實時分析，

和響應到正在進行的數(shù)據(jù)中心到底有多少賬號操作系統(tǒng)ZOS/UNIX/Linux/WIN/AD安全設備網絡設備數(shù)據(jù)庫

DB2/Oracle/MSSQLTeradata應用 應用部署中間件WebSphere,WebLogic系統(tǒng)服務應用內嵌的賬號虛擬化管理Windows的Cluster服務、計劃任務、中都需要綁定域賬號設備中的root或者enable賬號管理 比如備份， 等系統(tǒng)的管理員賬號賬號管理要求登錄會同操作會同變更/事件/服務不合規(guī)提醒每90天修改不同于前7個密碼版本一次一密

最近N個不在同一位置出現(xiàn)相同的字符特殊字符大小寫長度強化賬號一次一密使用后N小時過期隨 碼，無人知曉，防每天梳理數(shù)據(jù)中心的賬號列表，

不合規(guī)安全控制團隊進入

常態(tài)化，智能化高頻度賬號回顧與梳理管理類賬號、應用內嵌類賬號不同管理接口：zos,ssh,odbc,http,win等管理范圍全面、不允許知曉雙因素認證雙人會同、分段變更管理賬號使用作嚴格控制?操作會話與命令行回溯賬號使用盡量減少使用特定任務不允許使用，或將所需剝離出賬號最小權限原則賬號管理最佳實踐–要點與難點賬號建立使用申請與賬號使用賬號審計賬號回收1、把用戶作為一種特殊而關鍵的資產，具有資產屬性特征的生命周期；2、建立 的安全管理機制，逐步覆蓋所有重要用戶，實現(xiàn)對用戶從生成到注銷的全生命周期 與審計；3、利用PDCA思想，建立整個生命周期管理過程，覆蓋

賬號管理的各個環(huán)節(jié)。（計劃、執(zhí)行、檢查、行動）解決方案思路網絡設備，響賬號的主動保護，應賬號的用戶可以使用主動保護只有責任到人權限最小化定向24小時不間斷地賬號

行為檢測高風險活動工業(yè)控制系統(tǒng)Hypervisors數(shù)據(jù)庫/應用系統(tǒng)終端設備社交實時響應會話終止賬號使用情況可以做為外部者外部外部者外部者1、建立用戶臺賬；2、安全責任；3、自動策略合規(guī)；4、操作全程 ；5、快速審計溯源；6、 分析；主要提供以下功能：1、用戶自動發(fā)現(xiàn)（資產盤點）2、用戶列表（資產

）3、用戶變更報告（資產變化）4、可視化用戶分布圖（資產位置）建立用戶臺賬主要提供以下功能：1、 門戶，單點登錄，防止繞行；2、責任到人：主賬號與自然人的唯一性關聯(lián)，確保責任

；3、責任變更：隨同 崗位變更、工作職責變更、離職等情況，用戶進行相應變更或回收。安全責任主要提供以下功能：1、 進行集中托管，使 遠離

；2、 進行自動更改，滿足安全和合規(guī)要求；3、關鍵操作實現(xiàn)雙人會同，分段

；4、所有 操作留痕，滿足合規(guī)性審計要求；5、用戶權限應用級命令級細粒度管理，實現(xiàn)權限最小化自動的策略合規(guī)性主要提供以下功能：1、操作會話從建立到中斷被全程監(jiān)控，并有詳細操作留痕；2、實時 ，高危命令告警與提示；3、無論命令行還是圖形界面操作，都可以細化到命令級別的日志記錄；4、對于 執(zhí)行操作，識別并記錄中 令；5、對操作的 記錄要進行細化分段，以利于審計；操作全程主要提供以下功能：1、防篡改的詳細審計日志2、能夠通過關鍵字段快速地查找到相關的日志記錄和操作

；3、支持豐富的自定義審計報告和圖形展現(xiàn)?？焖俚乃菰矗饕峁┮韵鹿δ埽?、自動學習 操作行為特征并建模（基于時間、位置、操作命令等的度關聯(lián)）；2、對異常高權限操作行為進行告警及時發(fā)現(xiàn) 行為；3、可以靈活自定義告警策略和告警方式（支持郵件、

）賬號安全管理方案架構險庫企業(yè)保會話管理應用管理按需分配管理WEB門戶主策略管理器安全數(shù)字保險庫分析（PTA）基礎技術平臺主動管控組件分析保護響應Key管理賬號掃描引擎流程安全策略賬號報告控制賬號提供使用DR服務器PROVIDER郵件服務器動態(tài)口令服務器電子簽名同步賬號管理控制目標設備net

|SSH

|

RloginFTP

|SFTP

|

Win

Term應用系統(tǒng)網絡設備數(shù)據(jù)庫主機生命周期賬號賬號日志/審計會話控制控制命令控制管理員員工第離職員工基礎認證多因素認證外部認證OTPPKIBioSmart

CardLDAPSSORADIUS認證

單一用戶界面用戶。。ID/PWIP/MAC。。CyberArkCyberArk應用內嵌系統(tǒng)邏輯架構圖強大的目標支持能力ADSunOneNovelUNIX

KerberosUNIX

NIS數(shù)據(jù)庫Central

Policy

Manager服務器控制和系統(tǒng)通用接口操作系統(tǒng)WindowsUnix/LinuxAS400OS390HPUXTru64NonStopESXOVMSOracleMSSQLDB2InformixSybaseMySQLAny

ODBCFW1,SPLATIPSOPIXNetscreenFortiGateProxySGHMCHPiLOALOMDigi

CMDRACSSH/

netODBCWindowsRegistryConf

fileTextfile應用SAPWebSphereWebLogicWindows:ServicesScheduled

TasksIIS

App

PoolsIIS

AnonymousCOM+Oracle

Application

ERPSystemCenter

ConfigurationManagerDatabase

columns網絡設備CiscoJuniperNorAlcaQuntumF5企業(yè)IT環(huán)境Web應用系統(tǒng)WEB界面基礎技術平臺基礎平臺概述主策略管理器所有策略控制策略通過 界面管理和設置覆蓋整個組織的為用戶提供基于角色的控制安全數(shù)字保險庫七層安全機制保護 憑證和文件為為所有憑證和文件提供高度安全的集中化存貯會話審計數(shù)據(jù)提供可控的高度安全存貯保險庫賬號掃描引警發(fā)現(xiàn)網絡內的 賬號看到哪些賬號未受公司策略管控無論本地、域和服務關聯(lián)賬號基礎平臺功能說明功能好處通過單一的設施滿足所有

賬號安全管控要求發(fā)現(xiàn)組織所有的 賬號集中設置和 所有策略七層安全機制保護敏感憑證和文件把所有會話活動數(shù)據(jù)存貯在防篡改的保險庫中理解當前 賬號安全狀態(tài)，并制定圍繞數(shù)據(jù)的風險管控計劃強制實行覆蓋整個組織的 策略，達到安全強化和合規(guī)的目標。使組織絕大多數(shù)關鍵資產被成功的風險最小化滿足合規(guī)性要求,防止 行為人隱藏其行為蹤跡單一平臺可以獲得最優(yōu)的管控效果主動管控組件主動管控:五大組件網絡設備主機Mainframes數(shù)據(jù)庫應用安全設施Websites/Web

Apps云設施企業(yè)保險庫(EPV)企業(yè)

保險庫企業(yè)資源安全存貯*****更替終端用戶WEB門戶企業(yè)

保險庫(EPV)功能說明功能好外把所有集中存貯在高安全性的保險庫中降低因丟失或統(tǒng)非導致的

系風險基于角色和策略對和共享賬號進行控制僅允許系統(tǒng)，主動管控生命周期，包括創(chuàng)建、更替和銷毀強化主動更用戶和應用降低 程度。安全性，滿足要求替的合規(guī)性要求生命周期管理過程自動化無須人工干預，降低IT運營壓力提供所有和使用的行為報告完整的軌跡審計滿足合規(guī)性要求，確保 不被亂用。主機ainframes數(shù)據(jù)庫應用云設施SSH

密鑰管理SSH

密鑰管理Unix/Linux

資源終端用戶WEB門戶安全存貯Priv.密鑰更替與分發(fā)SSH

密鑰管理功能說明功能好處把SSH密鑰集中存貯在高度安全的保險庫中系統(tǒng)降低SSH密鑰被的非或盜用導致風險。Unix/Linux系統(tǒng)，用戶和應用降低程度。對用戶或應用使用的SSH密鑰進行基于 僅允許角色和策略的 控制自動更替SSH密鑰對并向目標系統(tǒng)分發(fā)公鑰消除人工干預，限制 用戶通過操作窗口使用已泄密密鑰。審計SSH密鑰的使用，并提供報表。完整的軌跡審計滿足合規(guī)性要求，確保特權密鑰不被亂用。網絡設備主機Mainframes數(shù)據(jù)庫應用安全設施Websites/Web

Apps云設施會話管理(PSM)

會話管理企業(yè)資源終端用戶WEB門戶會話管理器*Layered

with

Enterprise

PasswordVault會話管理(PSM)功能說明功能好處無須向用戶 憑證的情況下，用戶可以連接需要 的系統(tǒng)。防止用戶在繞過會話 的情況下直接訪問 系統(tǒng)。防止用戶終端的

到

目標系統(tǒng)。通過安全的跳板服務器把所有的連接變成獨立的 會話。在安全跳板服務器上 所有會話。無須在終端安裝任何時會話的情況下獲得實能力對每個記錄和詳細會話進行審計日志。獲得完整的審計記錄，滿足合規(guī)性要求，快速定位處理安全事件。所有會話記錄和審計日志都被安全存貯在防篡改的數(shù)字保險庫中。防止對審計日志的非 ，以滿足合規(guī)性要求，確保用戶不能編輯或刪除其行為蹤跡。網絡設備主機Mainframes數(shù)據(jù)庫應用安全設施Websites/Web

Apps云設施安全存貯和SSH密鑰更替*****類型系統(tǒng)內嵌賬號客戶關系管理系統(tǒng)人力資源系統(tǒng)系統(tǒng)應用管理應用

管理企業(yè)資源應用WebSphereWebLogicIIS

/

.NETLegacy

/HomegrownUserName

=

“app”Password

=

“y7qeF$1”Host

=“6”ConnectDatabase(Host,

UserName,

Password)UserName

=

GetUserName()Password

=

GetPassword()Host

=GetHost()ConnectDatabase(Host,

UserName,

Password)應用

識別功能（AIM）說明功能好處更替用動態(tài)憑證替換硬編碼 和本地存貯SSH密鑰自動更替應用憑證，并更新對應系統(tǒng)使變更有效。在提供目標系統(tǒng)憑證前把應用進行認證并加入保險庫。在每個被管理系統(tǒng)上對應用憑證進行加密緩存可以按照需求對多個應用進行集中部署或在每臺應用服務器上進行本地部署系統(tǒng)憑證以減少安全

，滿足合規(guī)性要求在減少IT運營壓力的同時降低風險，滿足合規(guī)要求。防止?jié)撛诘姆?應用 系統(tǒng)降低響應延時，用安全存貯的本地憑證確保高可用性靈活的部署能力，滿足業(yè)務和應用的可用性需求UnixLinux目標資源Windows

WindowsServer

PC

OS按需分配的(OPM)管理按需分配的 管理終端用戶3.

有效策略4.

授予權限:用戶標準提升的不允許的1.發(fā)送權限提升請求2.

用戶認證按需分配的管理(OPM)功能說明功能好處基于用戶限制管理權限，強制權限最小化用戶可以在符合策略的基礎上進行按需的自動提升權限。在使用提權的會話中，會對所有管理行為進行審計記錄應用白可以允許在指定系統(tǒng)中持續(xù)運行。集中管理所有 策略基于角色的管理權限限制可以有效減少通過自動提升權限保證IT運營效率和記錄所有提權行為和操作，以發(fā)現(xiàn)潛在 ，滿足合規(guī)性要求簡化IT流程，強化應用管控，減少威脅。強制在整個組織內

實施權限最小化策略，有效管理風險，滿足合規(guī)性要求。分析（PTA）分析(PTA)正常異常ALERT:SIEM

&CyberArk行為分析SIEM

解決方案登錄信息目標系統(tǒng)數(shù)據(jù)目標:從噪聲中發(fā)現(xiàn)信號.使SOC可以快速定位嚴重的告警.行為分析:

具有自我學習能力的智能統(tǒng)計分析模型，基于自有算法、登錄信息和兼容SIEM模塊 的目標系統(tǒng)數(shù)據(jù)分析（PTA）功能說明功能好處分析所有賬號登錄數(shù)據(jù)，學習和建立用戶行為模型理解用戶行為模型有助于發(fā)現(xiàn)異常和可疑活動通過SIEM目標系統(tǒng)數(shù)據(jù)，建立目標系統(tǒng)的活動模型通過賬號管理系統(tǒng)和SIEM進行異?；顒痈婢Ｊ褂脛討B(tài)習自有算法分析用戶和系統(tǒng)活動識別最嚴重的事件，使之不被大量基于規(guī)則的選區(qū)信息