最大限度地减少特权帐户的使用数量和范围,监视和记录其活动。
分析每个特权用户或帐户,以识别并消除任何风险、潜在威胁、来源和攻击者意图。
主要攻击方式及防范措施
遵守最小特权原则
防止管理员共享帐户和凭据。
用户行为监控
分析用户行为可以揭示是否存在泄露的凭据。通常,攻击者的目标是提供对组织系统的访问的用户凭据。如果他们设法获得凭据,他们就会进入网络,并且可以在一段时间内不被发现。
由于手动跟踪每个用户的行为很困难,因此最好的方法是部署用户和实体行为分析 (UEBA) 解决方案。这种工具会在一段时间内持续监控用户活动。然后创建合法行为的基线配置文件并用于检测表明妥协的异常活动。
生成的配置文件包含用户访问的位置、资源、数据文件和服务及其使用频率、特定内部和外部网络、主机数量以及正在运行的进程等信息。使用此信息,您可以识别可疑活动或偏离基线的参数。