2023-05-24 12:14:45　來(lái)源: 安全牛

特權賬戶(hù)往往能夠訪(fǎng)問(wèn)到企業(yè)中最重要的數據和信息，因此會(huì )成為攻擊者競相追逐的目標。為了保障數字化業(yè)務(wù)的安全開(kāi)展，組織必須對各種特權賬號的使用情況和異常行為進(jìn)行有效的監控和管理。但在實(shí)際應用中，企業(yè)要真正落地特權訪(fǎng)問(wèn)管理（PAM）并不容易，需要借助全面技術(shù)策略的支撐，實(shí)現對所有數字化資產(chǎn)的特權賬戶(hù)可見(jiàn)和可控。

特權訪(fǎng)問(wèn)管理的挑戰

研究人員發(fā)現，很多特權賬戶(hù)的使用者并不能充分了解對特權賬號的管理要求，往往為了簡(jiǎn)化日常工作流程，而忽視了安全后果。企業(yè)在開(kāi)展特權訪(fǎng)問(wèn)管理時(shí)，會(huì )經(jīng)常面臨以下常見(jiàn)的挑戰：

01

對特權賬戶(hù)的保護不足

保護特權賬戶(hù)包括很多方面的要求，由于企業(yè)的IT環(huán)境在不斷變化，特權賬戶(hù)的歸屬也在不斷變化。當發(fā)生人事變動(dòng)，或者進(jìn)行了系統應用升級時(shí)，特權賬戶(hù)的使用情況也將發(fā)生變化，如果不能進(jìn)行妥善處理，就會(huì )留下內部賬戶(hù)權限過(guò)大、僵尸特權賬號等安全隱患。此外，密碼是保護特權賬戶(hù)不被非法使用的關(guān)鍵，有很多安全管理密碼的建議，比如使用復雜的密碼和定期更新密碼，但很少有人愿意去做。

02

特權賬號共享濫用

特權賬號應該只授予那些為了完成工作而實(shí)際需要它們的人。但在實(shí)際工作中，特權賬戶(hù)卻常常被運維人員違規共享和濫用。有一種常見(jiàn)的情況是，一個(gè)團隊會(huì )共享一個(gè)特權賬戶(hù)來(lái)管理相關(guān)應用程序、網(wǎng)站或云存儲服務(wù)，因為創(chuàng )建多個(gè)特權賬戶(hù)需要經(jīng)歷多次審批流程。違規共享特權賬戶(hù)將會(huì )大大降低其應用可見(jiàn)性，如果有多人使用同一個(gè)特權賬戶(hù)，將無(wú)法分辨到底誰(shuí)做了什么。一旦發(fā)生了安全事件，也無(wú)法判斷該由誰(shuí)來(lái)負責。

03

過(guò)度授權和使用特權賬號

當特權賬戶(hù)的使用頻率超過(guò)工作所需時(shí)，就會(huì )增加組織的安全隱患和脆弱性，因此需要對其進(jìn)行合理授權，持續監管，并嚴禁用特權賬戶(hù)執行日常性工作任務(wù)。但是，即便企業(yè)將此定為安全管理制度中的一項明確要求，特權用戶(hù)也往往會(huì )忽略或破壞它。

04

網(wǎng)絡(luò )安全意識缺乏

無(wú)論企業(yè)的網(wǎng)絡(luò )安全管理制度中制定了什么規則，都可能會(huì )有人不遵守這些規則。甚至很多員工會(huì )認為：我們沒(méi)有被攻擊的價(jià)值，因此不需要那么多的安全防護。然而，今天的網(wǎng)絡(luò )攻擊是無(wú)孔不入的。因此，企業(yè)應該重視并加強網(wǎng)絡(luò )安全意識培訓，使包括特權用戶(hù)在內的所有員工都養成遵守組織安全政策的工作習慣。

特權訪(fǎng)問(wèn)管理的最佳實(shí)踐

日前，安全研究人員收集整理了有效進(jìn)行特權訪(fǎng)問(wèn)管理的10個(gè)最佳實(shí)踐，可以為企業(yè)組織后續開(kāi)展PAM建設工作提供參考。

01

識別所有的特權賬戶(hù)

企業(yè)開(kāi)展特權訪(fǎng)問(wèn)管理的第一步就是要梳理和識別出組織究竟有多少特權賬戶(hù)。研究數據顯示，一個(gè)企業(yè)中的特權賬戶(hù)數量往往是普通賬戶(hù)數量的3-4倍。顯然，要充分掌握有哪些特權賬戶(hù)是一件非常復雜的工作。企業(yè)還需要定期對自己的所有賬戶(hù)資產(chǎn)進(jìn)行系統整理，并且對和資產(chǎn)相關(guān)的所有權限進(jìn)行整理與管理。

02

實(shí)施最小特權原則

最小特權原則（POLP）是任何身份和訪(fǎng)問(wèn)管理（IAM）策略中的最佳實(shí)踐。執行POLP意味著(zhù)消除長(cháng)期性的特權使用，特權賬戶(hù)并不可以被無(wú)限制地賦予不需要的管理權限，從特權賬戶(hù)建立開(kāi)始，就需要對其進(jìn)行合理的權限使用限制。在權限提升時(shí)，應該有非常具體的理由才有望批準，還要有約束屬性，比如位置、設備和操作類(lèi)型。

03

運用零信任安全模型

零信任安全模型與傳統觀(guān)念形成了對比。在零信任安全模型中，除非用戶(hù)和設備經(jīng)過(guò)檢查、通過(guò)身份驗證，否則被拒絕訪(fǎng)問(wèn)資源。從長(cháng)期看，PAM 建設應該有效融合到零信任建設的范疇中，無(wú)論是用戶(hù)、設備、應用程序還是請求網(wǎng)絡(luò )訪(fǎng)問(wèn)的API，在被有效驗證身份和真實(shí)性之前，拒絕其對資源的訪(fǎng)問(wèn)將是默認選項。

04

實(shí)現全面的特權用戶(hù)監控

企業(yè)的人員在不斷變化，因此需要根據人員與IT環(huán)境的變化追蹤每個(gè)特權用戶(hù)是否依然有必要保留之前的權限。針對賬戶(hù)的權限變化進(jìn)行監控，也能防止異常的特權賬戶(hù)使用行為。

組織應該將管理賬戶(hù)與業(yè)務(wù)賬戶(hù)區分開(kāi)，并將管理賬戶(hù)中的審計功能與讀取、編輯、寫(xiě)入和執行等系統功能分開(kāi)來(lái)。只有確保每個(gè)特權賬戶(hù)只擁有執行特定任務(wù)的特權，并消除不同賬戶(hù)之間的重疊，才能真正建立起有效的特權訪(fǎng)問(wèn)管理系統。當新的組件和資產(chǎn)被添加到網(wǎng)絡(luò )中時(shí)，實(shí)現自動(dòng)化資產(chǎn)發(fā)現、所有權歸屬和訪(fǎng)問(wèn)評估是非常有必要的，如果發(fā)現任何違規和異常行為，應該立刻撤銷(xiāo)用戶(hù)的特權。

05

部署基于屬性的訪(fǎng)問(wèn)控制

基于屬性的訪(fǎng)問(wèn)控制（ABAC）可以確保組織用更可靠的方法來(lái)制定針對不同訪(fǎng)問(wèn)對象的管控策略，從而確保它們受到安全的保護，遠離非法的用戶(hù)訪(fǎng)問(wèn)。除了角色和資產(chǎn)外，ABAC還包括操作行為和環(huán)境，其中操作行為（讀取、寫(xiě)入、復制和刪除）定義了用戶(hù)可以對訪(fǎng)問(wèn)對象做什么，而環(huán)境則根據更廣泛的上下文，明確了相應資源何時(shí)在何地被使用，包括設備本身和相關(guān)的支持協(xié)議。

06

持續監測和警報

特權用戶(hù)監控（PUM）不應被視為一次性、階段性的工作。如果僅定期執行用戶(hù)活動(dòng)監控，則無(wú)法確保用戶(hù)操作的完全可見(jiàn)性或正確保護關(guān)鍵數據。PUM是一個(gè)持續的過(guò)程，需要不斷改進(jìn)。確保不斷改進(jìn)特權用戶(hù)監視和管理過(guò)程，并使用PUM最佳實(shí)踐和先進(jìn)技術(shù)解決方案增強它們。此外，特權會(huì )話(huà)管理（PSM）也是一項必備的功能，便于管理員控制、監測和記錄所有的特權使用會(huì )話(huà)，保證任何可疑活動(dòng)被及時(shí)發(fā)現和消除。

07

加強對共享賬戶(hù)的管理

加強對共享賬戶(hù)的管理對于保障特權訪(fǎng)問(wèn)安全至關(guān)重要。盡管共享特權賬戶(hù)很方便，但卻阻礙了用戶(hù)活動(dòng)監控和審計的過(guò)程，因為如果不使用特定的工具，很難區分用戶(hù)的行為。企業(yè)可以利用輔助用戶(hù)身份驗證措施，對需要共享賬戶(hù)的所有用戶(hù)進(jìn)行身份區分，同時(shí)有效地審計和監控他們的活動(dòng)。

08

選擇合適的PAM技術(shù)方案

每家企業(yè)的IT環(huán)境都有所不同，因此企業(yè)需要根據自己的需求進(jìn)行特權訪(fǎng)問(wèn)管理技術(shù)手段應用和部署。企業(yè)應該和專(zhuān)業(yè)的PAM服務(wù)商合作，在企業(yè)特性應用需求以及自身網(wǎng)絡(luò )環(huán)境的基礎上，打造適合企業(yè)的PAM管理方案。由于大多數網(wǎng)絡(luò )安全解決方案僅支持種類(lèi)有限的終端操作系統平臺，如何實(shí)現跨平臺的全面管理也是PAM建設中需要重點(diǎn)考慮的問(wèn)題。

09

快速的應用備份和恢復

企業(yè)要使用可靠的打碎玻璃（break-glass）方法，針對可能的攻擊事件恢復場(chǎng)景做好提前規劃和準備。一旦系統發(fā)現特權賬號存在異?；顒?dòng)行為，其訪(fǎng)問(wèn)會(huì )話(huà)應該被自動(dòng)關(guān)閉，從而防止威脅分子的進(jìn)一步滲入和惡意利用。在特權濫用導致真實(shí)的攻擊事件發(fā)生后，企業(yè)應該使用高可用性設計和高級災難恢復流程（比如熱站點(diǎn)或冷站點(diǎn)，而不是簡(jiǎn)單的本地備份和恢復），確保業(yè)務(wù)系統應用的連續性和彈性。

10

開(kāi)展網(wǎng)絡(luò )安全培訓

組織安全意識培訓對于有效監控特權用戶(hù)非常重要。沒(méi)有適當的網(wǎng)絡(luò )安全知識的用戶(hù)可能不理解監控它們的必要性，甚至可能試圖欺騙或破壞所實(shí)施的安全工具和策略。增強員工的網(wǎng)絡(luò )安全意識可以減少特權用戶(hù)的犯錯次數，使他們更加注意賦予他們的特權，并增加他們遵守公司建立的網(wǎng)絡(luò )安全程序的意愿。此外，當知道如何識別網(wǎng)絡(luò )安全威脅時(shí)，員工也更有可能注意到可疑活動(dòng)并上報。