特權訪問管理的挑戰(zhàn)
研究人員發(fā)現,很多特權賬戶的使用者并不能充分了解對特權賬號的管理要求,往往為了簡化日常工作流程,而忽視了安全后果。企業(yè)在開展特權訪問管理時,會經常面臨以下常見的挑戰(zhàn):
01對特權賬戶的保護不足
保護特權賬戶包括很多方面的要求,由于企業(yè)的IT環(huán)境在不斷變化,特權賬戶的歸屬也在不斷變化。當發(fā)生人事變動,或者進行了系統(tǒng)應用升級時,特權賬戶的使用情況也將發(fā)生變化,如果不能進行妥善處理,就會留下內部賬戶權限過大、僵尸特權賬號等安全隱患。此外,密碼是保護特權賬戶不被非法使用的關鍵,有很多安全管理密碼的建議,比如使用復雜的密碼和定期更新密碼,但很少有人愿意去做。
02特權賬號共享濫用
特權賬號應該只授予那些為了完成工作而實際需要它們的人。但在實際工作中,特權賬戶卻常常被運維人員違規(guī)共享和濫用。有一種常見的情況是,一個團隊會共享一個特權賬戶來管理相關應用程序、網站或云存儲服務,因為創(chuàng)建多個特權賬戶需要經歷多次審批流程。違規(guī)共享特權賬戶將會大大降低其應用可見性,如果有多人使用同一個特權賬戶,將無法分辨到底誰做了什么。一旦發(fā)生了安全事件,也無法判斷該由誰來負責。
03過度授權和使用特權賬號
當特權賬戶的使用頻率超過工作所需時,就會增加組織的安全隱患和脆弱性,因此需要對其進行合理授權,持續(xù)監(jiān)管,并嚴禁用特權賬戶執(zhí)行日常性工作任務。但是,即便企業(yè)將此定為安全管理制度中的一項明確要求,特權用戶也往往會忽略或破壞它。
04網絡安全意識缺乏
無論企業(yè)的網絡安全管理制度中制定了什么規(guī)則,都可能會有人不遵守這些規(guī)則。甚至很多員工會認為:我們沒有被攻擊的價值,因此不需要那么多的安全防護。然而,今天的網絡攻擊是無孔不入的。因此,企業(yè)應該重視并加強網絡安全意識培訓,使包括特權用戶在內的所有員工都養(yǎng)成遵守組織安全政策的工作習慣。
特權訪問管理的最佳實踐
日前,安全研究人員收集整理了有效進行特權訪問管理的10個最佳實踐,可以為企業(yè)組織后續(xù)開展PAM建設工作提供參考。
01識別所有的特權賬戶
企業(yè)開展特權訪問管理的第一步就是要梳理和識別出組織究竟有多少特權賬戶。研究數據顯示,一個企業(yè)中的特權賬戶數量往往是普通賬戶數量的3-4倍。顯然,要充分掌握有哪些特權賬戶是一件非常復雜的工作。企業(yè)還需要定期對自己的所有賬戶資產進行系統(tǒng)整理,并且對和資產相關的所有權限進行整理與管理。
02實施最小特權原則
最小特權原則(POLP)是任何身份和訪問管理(IAM)策略中的最佳實踐。執(zhí)行POLP意味著消除長期性的特權使用,特權賬戶并不可以被無限制地賦予不需要的管理權限,從特權賬戶建立開始,就需要對其進行合理的權限使用限制。在權限提升時,應該有非常具體的理由才有望批準,還要有約束屬性,比如位置、設備和操作類型。
03運用零信任安全模型
零信任安全模型與傳統(tǒng)觀念形成了對比。在零信任安全模型中,除非用戶和設備經過檢查、通過身份驗證,否則被拒絕訪問資源。從長期看,PAM建設應該有效融合到零信任建設的范疇中,無論是用戶、設備、應用程序還是請求網絡訪問的API,在被有效驗證身份和真實性之前,拒絕其對資源的訪問將是默認選項。
04實現全面的特權用戶監(jiān)控
企業(yè)的人員在不斷變化,因此需要根據人員與IT環(huán)境的變化追蹤每個特權用戶是否依然有必要保留之前的權限。針對賬戶的權限變化進行監(jiān)控,也能防止異常的特權賬戶使用行為。
組織應該將管理賬戶與業(yè)務賬戶區(qū)分開,并將管理賬戶中的審計功能與讀取、編輯、寫入和執(zhí)行等系統(tǒng)功能分開來。只有確保每個特權賬戶只擁有執(zhí)行特定任務的特權,并消除不同賬戶之間的重疊,才能真正建立起有效的特權訪問管理系統(tǒng)。當新的組件和資產被添加到網絡中時,實現自動化資產發(fā)現、所有權歸屬和訪問評估是非常有必要的,如果發(fā)現任何違規(guī)和異常行為,應該立刻撤銷用戶的特權。
05部署基于屬性的訪問控制
基于屬性的訪問控制(ABAC)可以確保組織用更可靠的方法來制定針對不同訪問對象的管控策略,從而確保它們受到安全的保護,遠離非法的用戶訪問。除了角色和資產外,ABAC還包括操作行為和環(huán)境,其中操作行為(讀取、寫入、復制和刪除)定義了用戶可以對訪問對象做什么,而環(huán)境則根據更廣泛的上下文,明確了相應資源何時在何地被使用,包括設備本身和相關的支持協(xié)議。
06持續(xù)監(jiān)測和警報
特權用戶監(jiān)控(PUM)不應被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶活動監(jiān)控,則無法確保用戶操作的完全可見性或正確保護關鍵數據。PUM是一個持續(xù)的過程,需要不斷改進。確保不斷改進特權用戶監(jiān)視和管理過程,并使用PUM最佳實踐和先進技術解決方案增強它們。此外,特權會話管理(PSM)也是一項必備的功能,便于管理員控制、監(jiān)測和記錄所有的特權使用會話,保證任何可疑活動被及時發(fā)現和消除。
07加強對共享賬戶的管理
加強對共享賬戶的管理對于保障特權訪問安全至關重要。盡管共享特權賬戶很方便,但卻阻礙了用戶活動監(jiān)控和審計的過程,因為如果不使用特定的工具,很難區(qū)分用戶的行為。企業(yè)可以利用輔助用戶身份驗證措施,對需要共享賬戶的所有用戶進行身份區(qū)分,同時有效地審計和監(jiān)控他們的活動。
08選擇合適的PAM技術方案
每家企業(yè)的IT環(huán)境都有所不同,因此企業(yè)需要根據自己的需求進行特權訪問管理技術手段應用和部署。企業(yè)應該和專業(yè)的PAM服務商合作,在企業(yè)特性應用需求以及自身網絡環(huán)境的基礎上,打造適合企業(yè)的PAM管理方案。由于大多數網絡安全解決方案僅支持種類有限的終端操作系統(tǒng)平臺,如何實現跨平臺的全面管理也是PAM建設中需要重點考慮的問題。
09快速的應用備份和恢復
企業(yè)要使用可靠的打碎玻璃(break-glass)方法,針對可能的攻擊事件恢復場景做好提前規(guī)劃和準備。一旦系統(tǒng)發(fā)現特權賬號存在異常活動行為,其訪問會話應該被自動關閉,從而防止威脅分子的進一步滲入和惡意利用。在特權濫用導致真實的攻擊事件發(fā)生后,企業(yè)應該使用高可用性設計和高級災難恢復流程(比如熱站點或冷站點,而不是簡單的本地備份和恢復),確保業(yè)務系統(tǒng)應用的連續(xù)性和彈性。
10開展網絡安全培訓
組織安全意識培訓對于有效監(jiān)控特權用戶非常重要。沒有適當的網絡安全知識的用戶可能不理解監(jiān)控它們的必要性,甚至可能試圖欺騙或破壞所實施的安全工具和策略。增強員工的網絡安全意識可以減少特權用戶的犯錯次數,使他們更加注意賦予他們的特權,并增加他們遵守公司建立的網絡安全程序的意愿。此外,當知道如何識別網絡安全威脅時,員工也更有可能注意到可疑活動并上報。
參考鏈接:https://heimdalsecurity.com/blog/privileged-access-management-pam-best-practices/
