特權(quán)賬戶往往能夠訪問到企業(yè)中最重要的數(shù)據(jù)和信息�,因此會(huì)成為攻擊者競相追逐的目標(biāo)。為了保障數(shù)字化業(yè)務(wù)的安全開展�����,組織必須對(duì)各種特權(quán)賬號(hào)的使用情況和異常行為進(jìn)行有效的監(jiān)控和管理。但在實(shí)際應(yīng)用中���,企業(yè)要真正落地特權(quán)訪問管理(PAM)并不容易���,需要借助全面技術(shù)策略的支撐,實(shí)現(xiàn)對(duì)所有數(shù)字化資產(chǎn)的特權(quán)賬戶可見和可控。
(相關(guān)資料圖)
特權(quán)訪問管理的挑戰(zhàn)
研究人員發(fā)現(xiàn)�����,很多特權(quán)賬戶的使用者并不能充分了解對(duì)特權(quán)賬號(hào)的管理要求�����,往往為了簡化日常工作流程�����,而忽視了安全后果���。企業(yè)在開展特權(quán)訪問管理時(shí)�,會(huì)經(jīng)常面臨以下常見的挑戰(zhàn):
01對(duì)特權(quán)賬戶的保護(hù)不足
保護(hù)特權(quán)賬戶包括很多方面的要求���,由于企業(yè)的IT環(huán)境在不斷變化��,特權(quán)賬戶的歸屬也在不斷變化��。當(dāng)發(fā)生人事變動(dòng)���,或者進(jìn)行了系統(tǒng)應(yīng)用升級(jí)時(shí),特權(quán)賬戶的使用情況也將發(fā)生變化�,如果不能進(jìn)行妥善處理,就會(huì)留下內(nèi)部賬戶權(quán)限過大�����、僵尸特權(quán)賬號(hào)等安全隱患�����。此外�,密碼是保護(hù)特權(quán)賬戶不被非法使用的關(guān)鍵,有很多安全管理密碼的建議�,比如使用復(fù)雜的密碼和定期更新密碼,但很少有人愿意去做����。
02特權(quán)賬號(hào)共享濫用
特權(quán)賬號(hào)應(yīng)該只授予那些為了完成工作而實(shí)際需要它們的人。但在實(shí)際工作中��,特權(quán)賬戶卻常常被運(yùn)維人員違規(guī)共享和濫用���。有一種常見的情況是�����,一個(gè)團(tuán)隊(duì)會(huì)共享一個(gè)特權(quán)賬戶來管理相關(guān)應(yīng)用程序����、網(wǎng)站或云存儲(chǔ)服務(wù),因?yàn)閯?chuàng)建多個(gè)特權(quán)賬戶需要經(jīng)歷多次審批流程����。違規(guī)共享特權(quán)賬戶將會(huì)大大降低其應(yīng)用可見性,如果有多人使用同一個(gè)特權(quán)賬戶�,將無法分辨到底誰做了什么。一旦發(fā)生了安全事件����,也無法判斷該由誰來負(fù)責(zé)。
03過度授權(quán)和使用特權(quán)賬號(hào)
當(dāng)特權(quán)賬戶的使用頻率超過工作所需時(shí)����,就會(huì)增加組織的安全隱患和脆弱性,因此需要對(duì)其進(jìn)行合理授權(quán)�,持續(xù)監(jiān)管,并嚴(yán)禁用特權(quán)賬戶執(zhí)行日常性工作任務(wù)���。但是�,即便企業(yè)將此定為安全管理制度中的一項(xiàng)明確要求���,特權(quán)用戶也往往會(huì)忽略或破壞它���。
04網(wǎng)絡(luò)安全意識(shí)缺乏
無論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則,都可能會(huì)有人不遵守這些規(guī)則��。甚至很多員工會(huì)認(rèn)為:我們沒有被攻擊的價(jià)值���,因此不需要那么多的安全防護(hù)��。然而����,今天的網(wǎng)絡(luò)攻擊是無孔不入的��。因此�����,企業(yè)應(yīng)該重視并加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)�����,使包括特權(quán)用戶在內(nèi)的所有員工都養(yǎng)成遵守組織安全政策的工作習(xí)慣����。
特權(quán)訪問管理的最佳實(shí)踐
日前���,安全研究人員收集整理了有效進(jìn)行特權(quán)訪問管理的10個(gè)最佳實(shí)踐,可以為企業(yè)組織后續(xù)開展PAM建設(shè)工作提供參考��。
01識(shí)別所有的特權(quán)賬戶
企業(yè)開展特權(quán)訪問管理的第一步就是要梳理和識(shí)別出組織究竟有多少特權(quán)賬戶����。研究數(shù)據(jù)顯示,一個(gè)企業(yè)中的特權(quán)賬戶數(shù)量往往是普通賬戶數(shù)量的3-4倍��。顯然�,要充分掌握有哪些特權(quán)賬戶是一件非常復(fù)雜的工作。企業(yè)還需要定期對(duì)自己的所有賬戶資產(chǎn)進(jìn)行系統(tǒng)整理��,并且對(duì)和資產(chǎn)相關(guān)的所有權(quán)限進(jìn)行整理與管理�。
02實(shí)施最小特權(quán)原則
最小特權(quán)原則(POLP)是任何身份和訪問管理(IAM)策略中的最佳實(shí)踐。執(zhí)行POLP意味著消除長期性的特權(quán)使用����,特權(quán)賬戶并不可以被無限制地賦予不需要的管理權(quán)限,從特權(quán)賬戶建立開始��,就需要對(duì)其進(jìn)行合理的權(quán)限使用限制�。在權(quán)限提升時(shí)���,應(yīng)該有非常具體的理由才有望批準(zhǔn),還要有約束屬性���,比如位置、設(shè)備和操作類型�����。
03運(yùn)用零信任安全模型
零信任安全模型與傳統(tǒng)觀念形成了對(duì)比����。在零信任安全模型中,除非用戶和設(shè)備經(jīng)過檢查����、通過身份驗(yàn)證,否則被拒絕訪問資源����。從長期看,PAM 建設(shè)應(yīng)該有效融合到零信任建設(shè)的范疇中���,無論是用戶��、設(shè)備����、應(yīng)用程序還是請(qǐng)求網(wǎng)絡(luò)訪問的API,在被有效驗(yàn)證身份和真實(shí)性之前�,拒絕其對(duì)資源的訪問將是默認(rèn)選項(xiàng)。
04實(shí)現(xiàn)全面的特權(quán)用戶監(jiān)控
企業(yè)的人員在不斷變化����,因此需要根據(jù)人員與IT環(huán)境的變化追蹤每個(gè)特權(quán)用戶是否依然有必要保留之前的權(quán)限。針對(duì)賬戶的權(quán)限變化進(jìn)行監(jiān)控�����,也能防止異常的特權(quán)賬戶使用行為��。
組織應(yīng)該將管理賬戶與業(yè)務(wù)賬戶區(qū)分開��,并將管理賬戶中的審計(jì)功能與讀取�����、編輯���、寫入和執(zhí)行等系統(tǒng)功能分開來��。只有確保每個(gè)特權(quán)賬戶只擁有執(zhí)行特定任務(wù)的特權(quán)�����,并消除不同賬戶之間的重疊�����,才能真正建立起有效的特權(quán)訪問管理系統(tǒng)�����。當(dāng)新的組件和資產(chǎn)被添加到網(wǎng)絡(luò)中時(shí)��,實(shí)現(xiàn)自動(dòng)化資產(chǎn)發(fā)現(xiàn)��、所有權(quán)歸屬和訪問評(píng)估是非常有必要的���,如果發(fā)現(xiàn)任何違規(guī)和異常行為,應(yīng)該立刻撤銷用戶的特權(quán)�。
05部署基于屬性的訪問控制
基于屬性的訪問控制(ABAC)可以確保組織用更可靠的方法來制定針對(duì)不同訪問對(duì)象的管控策略,從而確保它們受到安全的保護(hù)����,遠(yuǎn)離非法的用戶訪問�。除了角色和資產(chǎn)外�����,ABAC還包括操作行為和環(huán)境���,其中操作行為(讀取����、寫入��、復(fù)制和刪除)定義了用戶可以對(duì)訪問對(duì)象做什么����,而環(huán)境則根據(jù)更廣泛的上下文,明確了相應(yīng)資源何時(shí)在何地被使用�����,包括設(shè)備本身和相關(guān)的支持協(xié)議��。
06持續(xù)監(jiān)測和警報(bào)
特權(quán)用戶監(jiān)控(PUM)不應(yīng)被視為一次性��、階段性的工作。如果僅定期執(zhí)行用戶活動(dòng)監(jiān)控��,則無法確保用戶操作的完全可見性或正確保護(hù)關(guān)鍵數(shù)據(jù)���。PUM是一個(gè)持續(xù)的過程����,需要不斷改進(jìn)�。確保不斷改進(jìn)特權(quán)用戶監(jiān)視和管理過程,并使用PUM最佳實(shí)踐和先進(jìn)技術(shù)解決方案增強(qiáng)它們�。此外,特權(quán)會(huì)話管理(PSM)也是一項(xiàng)必備的功能�,便于管理員控制、監(jiān)測和記錄所有的特權(quán)使用會(huì)話���,保證任何可疑活動(dòng)被及時(shí)發(fā)現(xiàn)和消除。
07加強(qiáng)對(duì)共享賬戶的管理
加強(qiáng)對(duì)共享賬戶的管理對(duì)于保障特權(quán)訪問安全至關(guān)重要����。盡管共享特權(quán)賬戶很方便,但卻阻礙了用戶活動(dòng)監(jiān)控和審計(jì)的過程���,因?yàn)槿绻皇褂锰囟ǖ墓ぞ?���,很難區(qū)分用戶的行為。企業(yè)可以利用輔助用戶身份驗(yàn)證措施�����,對(duì)需要共享賬戶的所有用戶進(jìn)行身份區(qū)分�����,同時(shí)有效地審計(jì)和監(jiān)控他們的活動(dòng)����。
08選擇合適的PAM技術(shù)方案
每家企業(yè)的IT環(huán)境都有所不同,因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)訪問管理技術(shù)手段應(yīng)用和部署�。企業(yè)應(yīng)該和專業(yè)的PAM服務(wù)商合作,在企業(yè)特性應(yīng)用需求以及自身網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上�,打造適合企業(yè)的PAM管理方案。由于大多數(shù)網(wǎng)絡(luò)安全解決方案僅支持種類有限的終端操作系統(tǒng)平臺(tái)���,如何實(shí)現(xiàn)跨平臺(tái)的全面管理也是PAM建設(shè)中需要重點(diǎn)考慮的問題�。
09快速的應(yīng)用備份和恢復(fù)
企業(yè)要使用可靠的打碎玻璃(break-glass)方法�,針對(duì)可能的攻擊事件恢復(fù)場景做好提前規(guī)劃和準(zhǔn)備。一旦系統(tǒng)發(fā)現(xiàn)特權(quán)賬號(hào)存在異?����;顒?dòng)行為,其訪問會(huì)話應(yīng)該被自動(dòng)關(guān)閉�����,從而防止威脅分子的進(jìn)一步滲入和惡意利用����。在特權(quán)濫用導(dǎo)致真實(shí)的攻擊事件發(fā)生后,企業(yè)應(yīng)該使用高可用性設(shè)計(jì)和高級(jí)災(zāi)難恢復(fù)流程(比如熱站點(diǎn)或冷站點(diǎn)�����,而不是簡單的本地備份和恢復(fù))��,確保業(yè)務(wù)系統(tǒng)應(yīng)用的連續(xù)性和彈性��。
10開展網(wǎng)絡(luò)安全培訓(xùn)
組織安全意識(shí)培訓(xùn)對(duì)于有效監(jiān)控特權(quán)用戶非常重要����。沒有適當(dāng)?shù)木W(wǎng)絡(luò)安全知識(shí)的用戶可能不理解監(jiān)控它們的必要性��,甚至可能試圖欺騙或破壞所實(shí)施的安全工具和策略���。增強(qiáng)員工的網(wǎng)絡(luò)安全意識(shí)可以減少特權(quán)用戶的犯錯(cuò)次數(shù)�����,使他們更加注意賦予他們的特權(quán)�,并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外����,當(dāng)知道如何識(shí)別網(wǎng)絡(luò)安全威脅時(shí),員工也更有可能注意到可疑活動(dòng)并上報(bào)����。
參考鏈接:https://heimdalsecurity.com/blog/privileged-access-management-pam-best-practices/
