因能訪問公司最寶貴的信息�����,特權賬戶往往成為攻擊者競相追逐的目標���。
公司企業(yè)必須安全有效地管理特權訪問�。
很多合規(guī)規(guī)定都對特權用戶管理提出了強安全控制建議���。
為符合這些要求�����,預防災難性數(shù)據(jù)泄露發(fā)生���,公司企業(yè)在日常安全操作中實現(xiàn)了各種各樣的特權訪問管理 (PAM)。
但如何選擇合適的 PAM 解決方案?需要找尋哪些功能呢?
1. 持續(xù)發(fā)現(xiàn)特權賬戶你無法保護看不到的東西��。
所以��,發(fā)現(xiàn)網(wǎng)絡中每一個特權賬戶是必備功能�。
PAM 解決方案應能發(fā)現(xiàn)人類用戶和應用所用的各種特權賬戶。
只要擁有了網(wǎng)絡中所有特權賬戶的完整可見性���,就可以輕易擺脫不必要的管理員賬戶��,指定哪個賬戶�����,或者哪個特定用戶����,可以訪問哪些關鍵資產(chǎn)。
還可以更進一步�����,通過刪除所有默認管理員賬戶來夯實系統(tǒng)安全��,實現(xiàn)最小權限原則或零信任安全方法��。
實現(xiàn)這些功能的最大挑戰(zhàn)��,是保持特權賬戶相關數(shù)據(jù)更新����。
只要提權出了任何差錯,公司網(wǎng)絡安全就陷于嚴重風險之中了���。
2. 多因子身份驗證多因子身份驗證 (MFA) 功能是確保只有正確的人能夠訪問關鍵數(shù)據(jù)的必要方法���。
這種方法還可以緩解惡意內(nèi)部人 “借用” 同事密碼的風險���,防止內(nèi)部人威脅���。
大多數(shù) MFA 工具都提供兩種驗證因子的組合:·所知(用戶憑證)·持有(生物特征����、發(fā)送到用戶經(jīng)驗證移動設備上的一次性密碼等)實現(xiàn)該功能的主要挑戰(zhàn)之一�����,是定義哪些終端和資產(chǎn)需要受到最嚴格的保護���。
為避免給員工造成太大麻煩���,應只在必要的時間和位置實現(xiàn) MFA 功能。
3. 會話管理很多安全供應商將特權訪問與會話管理 (PASM)�����,作為單獨的解決方案�����,或 PAM 軟件的一部分提供。
監(jiān)視和記錄特權會話的功能�����,為安全專家審計特權活動和調(diào)查網(wǎng)絡安全事件����,提供了所需的全部信息。
實現(xiàn)該功能的主要挑戰(zhàn)�����,是將每一個記錄下的會話與特定用戶關聯(lián)起來�。
在很多公司里,員工都會使用共享賬戶訪問各種各樣的系統(tǒng)和應用���。
如果他們使用相同的憑證��,不同用戶發(fā)起的會話�,就會被關聯(lián)到同一個共享賬戶上����。
為解決該問題,PAM 應能為共享賬戶和默認賬戶提供次級身份驗證功能�����。
如此一來,如果用戶以共享賬戶登錄系統(tǒng)��,還需額外提供個人憑證�����,以便確認該特定會話是由該特定用戶發(fā)起的�����。
4. 一次性密碼確保只有正確的用戶能夠獲得關鍵資產(chǎn)訪問授權的另一方式�,是部署一次性密碼功能��。
該功能最適用于授予第三方承包商訪問公司重要信息資產(chǎn)的適時 (JIT) 訪問權�����。
一次性密碼的有效期很短��,而且不能重復使用����,所以能夠降低數(shù)據(jù)泄露的風險��。
5. 用戶及實體行為分析 (UEBA)用戶及實體行為分析 (UEBA) 工具有助于早期警示特權賬戶被盜的事實��。
UEBA 工具分析其他 PAM 工具記錄下的數(shù)據(jù)�,包括會話記錄和日志��,識別常規(guī)用戶行為模式���。
如果特定用戶或實體的行為開始偏離其典型模式�,系統(tǒng)就會將之標為可疑��。
UEBA 工具旨在幫助補全其他安全工具的遺漏�����,盡早檢測入侵�。
目前,市場提供大量 UEBA 工具�����,既有獨立的 UEBA 解決方案���,也有嵌入 UEBA 功能的安全解決方案���。
想要恰當管理特權訪問�����,PAM 或安全信息與事件管理 (SIEM) 解決方案最好包含 UEBA 功能���。
6. 實時通知越早阻止攻擊���,攻擊造成的影響就越小��。
但若想能夠及時響應潛在安全事件����,你收到警報通知的時機應是近實時的���。
所以��,選擇特權訪問管理解決方案的時候����,一定要查看其是否具有良好的警報系統(tǒng)����。
大多數(shù) PAM 解決方案都提供一套標準規(guī)則和警報�。
比如說���,每次系統(tǒng)記錄到特權賬戶登錄嘗試失敗���,安全負責人就會收到通知。
或者更進一步��,為特定事件���、活動��,乃至用戶組創(chuàng)建自定義警報�。
7. 詳盡報告與審計PAM 工具通常會收集大量數(shù)據(jù):活動日志���、鍵盤記錄�、事件日志���、會話記錄等等�����。
但若無法從中產(chǎn)生詳盡的報告��,PAM 解決方案收集再多的有用數(shù)據(jù)都是徒勞���。
因此���,需具備根據(jù)自身特定需求產(chǎn)生不同類型報告的能力。
要特別注意可收入報告中的數(shù)據(jù)和信息的類型�。
比如說,如果形成的報告能夠包含特權賬戶執(zhí)行的全部活動�,或者納入非正常上班時間發(fā)起的所有特權會話,安全保護效果會好很多����。
某些情況下���,取證分析需調(diào)查安全事件�,或者評估當前安全系統(tǒng)的狀態(tài)��。
因此���,所選特權訪問管理解決方案最好具備取證導出功能�����。
若能將 PAM 解決方案與當前 SIEM 集成��,也是一個加分項�����。
這樣可以最大限度地利用 PAM 工具收集的數(shù)據(jù)��,以更有效的方式分析潛在威脅�����。
結語特權訪問濫用可導致災難性后果�����,使攻擊者得以輕松收集到最有價值����、最重要的信息。
大多數(shù)合規(guī)監(jiān)管也要求特權訪問得到妥善保護與管理�����,盡管有時候這種要求是間接的。
所以��,部署優(yōu)良的 PAM 解決方案�����,是每一家現(xiàn)代企業(yè)的必備步驟����。
