特权访问是一种IT系统访问,授予访问持有者特殊的权利。拥有特权访问权限的用户可以执行标准用户不能执行的操作。通常称为特权操作的操作包括修改服务器设置、更改密码、访问业务数据系统、安装新程序、运行关键服务、添加用户配置文件、进行维护活动以及更改网络配置。
当今的企业IT团队主要依靠称为特权帐户的关键用户帐户来为用户提供对网络中各种信息系统的特权访问。虽然在当前的IT环境中,特权帐户仍然是特权访问配置的首选,但其他很少使用的选项包括生物认证和智能卡。
在某些情况下,企业完全保护物理服务器、工作站、数据中心设备或任何包含敏感信息的系统,然后禁止直接访问该机器。在这种情况下,对机器的直接物理访问意味着用户具有特权访问。这类用户通常被称为特权用户。
特权用户是被授权通过拥有一个或多个特权帐户或任何其他访问模式来提升对部分或整个IT基础架构网络的访问权限的用户。
众所周知的特权用户包括IT工作者,如系统管理员、网络架构师和管理员、数据库管理员、业务应用程序管理员、开发人员工程师和其他IT主管。有时,帮助公司IT运营或业务需求和维护的第三方承包商也可以从内部访问公司的网络。
通常,特权用户是特定类型的企业IT用户。其他IT用户包括标准用户和高级用户。
这些是拥有非高级帐户的普通用户,他们每天都可以访问业务应用程序来执行日常操作。标准用户通常无权访问任何敏感的信息系统。这些是拥有非高级帐户的普通用户,他们每天都可以访问业务应用程序来执行日常操作。标准用户通常无权访问任何敏感的信息系统
与标准用户相比,超级用户拥有一些额外的权限。一个常见的例子是帮助管理最终用户工作站的内部IT人员。这类用户获得边际帐户访问权限提升,这为他们提供了特定的权限,如">与标准用户相比,超级用户拥有一些额外的权限。一个常见的例子是帮助管理最终用户工作站的内部IT人员。这类用户获得边际帐户访问权限提升,这为他们提供了特定的权限,如 远程存取、本地工作站和数据库。
这些都是你最重要的用户。特权用户通常数量有限。它们给IT环境带来的风险最高,需要全天候监控。
特权帐户是与非特权帐户相比具有更高用户权限的企业帐户。特权帐户可以是人类帐户、基于应用程序的帐户(如机器对机器或 应用程序对应用程序帐户 对于自动操作),或服务帐户。
使用特权帐户,用户可以执行其他方式无法执行的功能和访问资源。这包括访问和修改敏感的服务器、应用程序、数据库和其他关键业务端点。
特权凭据是特权用户用来访问敏感帐户、服务器、数据库、应用程序和其他敏感端点的凭据。除了密码,特权凭证还包括秘密,如SSH密钥、API密钥、令牌和证书。
现在我们已经对 PAM基础知识,让我们来看看特权访问管理是如何工作的。
特权访问管理是授予特定用户对其工作职能至关重要的业务关键资源、帐户和凭据的高级访问权限(也称为特权访问权限)的过程。对于特定于任务的访问,一旦任务完成,提供给用户的访问就被撤销。
换句话说,通过特权访问,特权用户可以访问特权帐户、凭据、系统、服务器、数据库等,以执行重要任务,包括管理和修改这些帐户和资源。特权访问管理是控制和管理这种访问的过程。
虽然提供特权访问对于允许员工执行工作关键功能很重要,但这也涉及到高暴露风险。由于特权用户可以访问多个密钥凭据和资源,因此,一个受损的特权用户或帐户可能代价高昂。
因此,特权访问管理还涉及对特权用户的持续监控,以确保他们不会滥用其访问权限。这需要定期检查分配的权限,并在用户在组织中的角色发生变化时撤销多余的权限。
尽管特权访问管理可以与身份和访问管理(IAM)以及特权身份管理(PIM)互换使用,但是让我们来看看它们之间的区别。
IAM是一个安全框架,用于对用户进行识别、验证和访问。IAM由特殊的策略、控制和解决方案组成,用于管理企业中的身份。IT经理利用IAM解决方案来控制对其组织内的数据库、资产、网络、应用程序和资源的访问。通常,IAM适用于组织中的所有用户。
特权访问管理是IAM的一个子集,它只处理特权访问的管理。PAM主要适用于对敏感资源、应用程序和帐户具有提升访问权限的特权用户。PAM主要关注那些因拥有特权访问而造成较高安全威胁和数据泄露风险的用户和帐户。IT管理员使用PAM解决方案来跟踪、审计和管理特权用户、身份、帐户和 会议。
个人信息管理, 是PAM的子类,包括基本的安全控制和策略,仅限于管理和保护特权身份,如服务帐户、用户名、密码、SSH密钥和 数字证书,提供对敏感信息的访问。
总的来说,IAM涵盖了跨所有企业垂直市场的更广泛的访问模式,包括所有用户、系统、资源和资产。另一方面,PIM和PAM涵盖了特权资源和系统的访问模式。
不受约束的特权是对当今企业的一种无声威胁。因为对关键信息系统的特权访问是网络攻击者皇冠上的宝石,所以特权用户帐户落入坏人之手是一种危险的武器,可以轻而易举地摧毁一个企业。
事实上, Thales' 2019 Data Threat Report将特权访问列为其最大数据安全威胁列表中的五大因素之一。此外,特许访问是最难发现的网络攻击媒介之一;由于滥用特权和误用而导致的一些违规行为实际上可能数月或更久都不会被发现。
特权访问和特权帐户管理不善会使企业面临不同的特权威胁和风险,例如:
"“80%的违规是由组织外部的人造成的”" - Verizon's 2022 Data Breach Investigations Report
特权帐户是攻击者的最爱,他们希望在不引起怀疑的情况下获得对敏感数据服务器的完全访问权限。黑客通常操纵易受骗的特权用户(通过网络钓鱼、欺骗网站和其他策略)放弃信息,让攻击者绕过公司的安全系统并获得网络访问权。
一旦进入,黑客立即四处寻找不受管理的特权凭证,并将自己升级到域管理员状态,这使他们可以不受限制地访问高度敏感的信息系统。应对这一威胁的最佳方式是将所有特权凭证完全锁在一个中央加密保险库中;实施基于角色的控制;强制对保险库访问进行多因素身份认证;并记录所有传入的请求。
有时,最大的威胁来自离家更近的地方。同样,内部权限滥用是当今各种规模的组织中一个快速增长的问题。 The Cybersecurity Imperative Pulse Report 在2019年发布的报告指出,“恶意内部威胁的影响翻了一番,现在有57%的人表示有很大或非常大的影响(而我们在2018年的调查中为29%)。”
怀有错误意图的内部特权用户(如寻求个人利益的用户)可能比外部各方造成更大的损害。对内部人员的固有信任使他们能够利用其现有的特权,窃取敏感数据,并在组织察觉之前将其出售给外部方,直到为时已晚。
Verizon's 2019 Insider Threat Report注意到在该公司之前的五份数据泄露调查报告(2014-2018)中,只有4%的内部权限滥用泄露是通过欺诈检测发现的。为了保护关键信息资产免受此类恶意内部行为者的侵害,持续实时监控每个特权用户的活动并利用行为异常检测和威胁分析至关重要。
82%的违规涉及人为因素,包括社交攻击、错误和误用- Verizon's 2022 Data Breach Investigations Report
如果没有适当的特权访问管理,粗心的员工是难以管理的威胁。他们是不了解网络安全重要性的用户。他们不顾后果地将重要的用户凭证到处乱放,让黑客找到,或者他们有时与未经授权的员工共享访问权限。
一个典型的例子是DevOps工程师将他们的代码(包含内部服务器的认证令牌)转储到GitHub这样的开放平台上,然后忘记了它们。这种危险的做法只能通过强大的特权访问治理来控制,这种治理通过全面的审计来确保每个特权活动都可以与特定用户相关联。
远程供应商构成了组织的扩展业务网络。他们通常包括承包商、顾问、合作伙伴、第三方维护团队和服务提供商,他们需要特权访问您的内部基础架构以满足各种业务需求。许多组织依靠多个承包商来完成工作。在当今的数字世界中,这意味着第三方可以根据业务需求访问您的内部网络,因此构成了与内部人员相同的威胁。
存在同样风险的另一类用户是不快乐或有财务动机的前雇员。心怀不满的员工已经离开公司,但仍然拥有访问权限,他们可以利用这些权限获得非法访问,窃取数据,并将其出售给黑客。处理此类威胁场景需要定期审查员工和承包商的权限,并删除不必要的权限。
通常,用户的权限过高,拥有的访问权限远远超过他们履行工作职责所需的权限。因此,授予的权限和使用的权限之间存在差距。在这种情况下,应用 最小特权原则 只提供完成工作任务所需的最低权限。如果没有适当的特权访问管理系统来实施最低特权安全性和监视用户操作,那么特权过高的用户帐户可能会被用于非法访问。
忘记特权是危险的。IT管理员经常为用户提供对数据服务器的特权访问,但却无法撤销这种访问。如果没有工具来跟踪谁被授予了什么特权,收回权限是一项繁琐的任务。这意味着用户即使在他们的工作完成后仍然拥有特权,他们有机会执行未经授权的操作。在这种情况下,特权访问管理工具可以帮助IT经理通过定时预设向用户授予最低要求的特权访问权限。一旦规定的时间到了,该工具会自动撤销特权。
这是一个微妙的威胁,如果您的企业遭受数据泄露,它可能会成为一个巨大的劣势。没有全面的 特权活动日志和明确的证据,可以提供有关事件的背景,法医调查可能会失败,摧毁你的品牌声誉和你与客户建立的信任。
除非通过强有力的控制措施进行全面管理并持续监控,否则特权访问会使您的组织面临数据过度暴露的风险,从而导致业务中断、诉讼、调查成本和声誉受损。
特权访问管理应该是您最重要的长期安全项目之一,以消除网络安全态势中的弱点,并成功化解新出现的特权访问风险。
Forrester估计80%的数据泄露是由于泄露了特权凭据,如密码、令牌、密钥和证书。 Emerging cyber trends建议攻击者不要总是依靠复杂的工具或攻击方法来突破组织的安全边界。他们所需要的只是一个受损的特权帐户或一个弱凭据,就可以无限制地访问业务敏感信息。因此,实时监控、定期审计以及特权帐户的安全治理和管理是特权访问管理的组成部分。
让我们深入了解一些PAM最佳实践和关键特性 PAM solution.
特权访问管理最佳实践可以分为三个阶段:授予特定系统特权访问之前、期间和之后。
在提供访问权限之前,特权访问管理流程通常从评估网络中内部、云和虚拟平台上的活动关键终端开始。
发现资产后,下一步是将相关的特权帐户和SSH密钥(或任何提供提升权限的用户身份验证实体,如智能卡)整合到一个安全的中央保险库中。这个保险库必须受到多层加密的保护,这些加密采用的是军用级别的算法,如AES-256或RSA-4096。
其他措施包括:
接下来,在为一方分配特权访问时,主要原则是实施建立在基于角色的控制之上的最小特权模型。这确保了已经通过多个身份验证级别证明了其身份的用户仅被提供了所需的最小量的权限。这通常意味着实施以下措施:
在这个阶段要记住的最重要的事情是,在工作完成之后,特权访问应该被撤销。一旦取消权限,特权凭据(密码或SSH密钥)也应自动签入到vault中,并使用严格的策略立即重置,以防止将来出现任何未经授权的访问。
加强安全的其他举措如下:
适合您企业的理想PAM解决方案必须超越密码管理,并为您的所有PAM需求提供一站式服务。
让我们探索一下PAM软件的主要特性:
特权帐户管理是任何PAM工具的关键部分。不受管理的特权帐户可以一手搞垮一个企业。通过特权帐户治理,您可以实现细粒度的, 基于角色的访问控制(RBACs) 对于用户来说。RBACs可确保您的特权帐户不会被流氓内部人员、外部攻击者、疏忽大意的员工、恶意的前员工、远程供应商和其他人利用。
使用特权帐户管理和PoLP,您可以通过仅向用户提供必要的、特定于任务的访问级别来减少暴露区域。特权帐户管理还有助于在特定时间、仅在需要时与特定用户安全共享特权凭据和帐户。实施此功能的PAM解决方案可防止权限滥用和未经授权的访问,并提醒您注意异常情况。
特权凭据管理是指特权凭据和机密的保险存储、定期轮换和安全存储。使用PAM解决方案,您可以 保险库密码、令牌和SSH密钥;检索丢失的凭据;并定期轮换凭据。
理想的PAM解决方案有助于与人类用户进行凭证的保险存储和安全共享,生成凭证,代理特权,轮换机密,定期重置凭证,并管理非人类实体(如机器、应用程序、服务和DevOps管道)的授权。
大多数企业都有成千上万的特权帐户、端点和凭证,不可能手动发现并装载所有这些。PAM工具需要让您批量发现特权帐户和资源,并从一个集中的仪表板管理它们。使用PAM解决方案,您还可以自动发现与所发现的帐户和资源相关联的服务、端点和凭证。
PEDM是特权访问管理的一部分,旨在根据特定要求为用户提供临时的细粒度特权。授予用户更高的特权和对特权帐户的永久访问权会带来巨大的安全风险。即使通过意外暴露,这种长期特权也会让攻击者获得组织最有价值的资源。
PAM解决方案旨在通过允许用户和应用程序使用基于时间和请求的方法访问特权信息来解决这个问题。换句话说,根据对用户需求的验证,在规定的时间内授予对敏感信息的访问权限,该时间过后,这些权限将被撤销。
特权会话管理指启动、实时监控、管理和记录涉及特权访问的会话。如果不加控制,特权会话会对网络安全构成重大威胁。因此,通过PAM工具授权启动会话并实时监控会话非常重要,这样,如果有可疑活动,就可以终止会话。通过使用支持特权会话管理的PAM解决方案,您还可以记录特权会话以供将来分析,并在必要时获得即时警报。
特权会话审核跟踪包括事件是什么、哪个用户或应用程序启动了事件(包括IP地址和设备类型)、在整个会话期间执行了什么操作,以及事件的日期和时间。审计跟踪为每一项行动建立了责任,确保可以追溯可疑活动和系统故障,以了解其根源。
此外,维护特权访问的审计跟踪是HIPAA、SOX和PCI DSS等法规遵从性标准的一个组成部分,这些标准要求组织监控和捕获特权帐户执行的所有操作。
您的总体企业IT管理需求超出了PAM解决方案的范围,因此PAM软件与您环境中使用的其他IT管理解决方案和业务应用程序无缝集成非常重要。上下文集成提供了整个组织中特权活动的整体视图。虽然没有必要将所有的it功能相互集成,但是这样做可以消除重复的操作和冗余,从而提高IT团队的整体安全性和生产力。
PAM 360 将帮助您自动执行访问配置和特权操作,管理人类和非人类用户帐户,实现合规性,并在不同的企业垂直市场中做更多事情。此外,通过全面了解数字环境中的特权活动、用户行为和分析,您可以将用户行为和特权滥用模式关联起来,并识别和了解威胁媒介,以防止未来发生安全事件。