PASM如何运作?
PASM 工具的两个重点领域包括:
通常情况下,某些用户被提升了权限,即他们拥有的权限多于执行其活动所需的权限。因此,所需权限和授予的权限之间始终存在差距。
此外,当这些特权过高的用户离开组织时,IT 团队需要一段时间才能取消预配其帐户并撤销与其关联的权限。同时,恶意内部人员可能会访问这些孤立帐户,并利用这些特权来获得对敏感数据的不公平优势。在这种情况下,PASM 解决方案被证明可以有效地消除任何不受管理的常设特权。
PASM 工具附带加密保管库,允许 IT 团队和其他管理用户存储和管理特权身份,例如用户帐户、密码、SSH 密钥、PKI 证书和其他身份验证数据。
下面是特权帐户类型的快速快照:
此外,PASM 工具还提供强大的控制,例如:
这些工具基于 最小特权 (POLP) 原则工作,其中用户被授予最小和足够的访问权限来执行其日常任务。对于需要更高管理权限的任务,用户必须提供适当的批准才能获得对机密数据的管理访问权限。此外,PASM 解决方案包括内置的权限提升控制,IT 团队可以通过这些控件确保可以根据具体情况配置对特权帐户和资产的访问。
换句话说,IT 团队可以为用户提供在特定时间段内对特权资源的访问权限,而不是授予永久的更高权限。请求的时间范围到期后,对这些资源的访问权限将被撤销,原始(和最低)用户权限将恢复。
PASM 解决方案包括独有的会话管理控制,以促进对远程端点(如应用程序、数据中心、数据库、操作系统、网络设备和云存储)的安全访问。
虽然 VPN 的目的是在两台远程机器之间提供安全网关,但 PASM 工具更进一步,提供了更通用的上下文功能,例如会话记录、监控、阴影、终止、审核和文件传输。这使 IT 团队能够实时监视和控制用户会话,并终止任何可疑的用户会话。
PASM的会话管理功能使IT团队能够发现未经授权的会话并有效地终止任何异常用户活动。此外, 特权会话管理提供详细、不可更改的审核跟踪,通常包含每个会话的内容、人员和时间的基本见解,这些见解可进一步用于取证调查和安全审核。
此外,PASM 工具在设备级别应用 POLP,其中没有适当权限提升批准的非管理用户将无权访问关键终结点。换句话说,只有具有有效要求的用户才会获得临时管理权限来执行其任务,一旦他们的工作完成,他们的临时权限将被撤销,资源的凭据将自动轮换,以防止将来出现任何未经授权的访问尝试。
以下是在考虑 PASM 解决方案时需要注意的一些标准会话管理功能:
特权帐户落入坏人之手是灾难的完美配方。虽然网络攻击方法在不断发展,但更常见的是简单地滥用管理帐户或弱凭据,足以使组织处于大规模违规的中心。所有最近的网络攻击趋势都证明了这样一个事实,即攻击者通常选择保持简单,而密码恰好是数据泄露时最容易实现的目标。
宽松的密码管理(例如重复使用和共享特权凭据)可能会使组织暴露给不良行为者。手动管理密码不仅繁琐,而且是一件棘手的事情,因为任何疏忽的内部人员都可能将凭据暴露给攻击者。当犯罪分子处理特权凭证时,可能会为价值数千至数百万美元的业务敏感数据打开闸门。
话虽如此,强大的 PASM 解决方案可以帮助 IT 团队保护和简化其特权访问例程。PASM 解决方案使管理员能够集中控制其特权用户、帐户和资产,并且可以确保定期重置这些帐户的凭据,并屏蔽非管理用户,除非提供有效的访问请求。
此外,这些工具还提供对特权用户活动的广泛、实时审核,帮助 IT 团队识别和消除安全盲点和漏洞,以预防任何迫在眉睫的攻击,同时符合行业标准。切换到 PASM 解决方案的另一个很好的理由是它与业务职能的相关性,这使其成为任何组织的多功能且与行业无关的补充。
为了正确看待事情,PASM 不仅可以帮助您锁门,还可以帮助您隐藏敏感信息的钥匙。
以下是部署 PASM 解决方案的主要业务优势:
对特权帐户的精细可见性: 通过全面的审计跟踪和有关特权帐户使用情况的警报,全面了解企业网络中的用户活动。
加强整体访问治理: 除了提供细粒度访问外,PASM 解决方案还包括用于监视和控制地理位置分散的企业资源的控件。远程会话的实时监控提高了整体透明度,并使 IT 管理员能够通过实时会话记录和阴影来防止内部攻击。
主动防范内部威胁:通过对用户会话的有效实时洞察,识别异常行为,阻止可疑用户并防止安全事件。实施基于角色的访问控制,以确保只有特权用户才能管理敏感信息。
确保有效遵守行业法规:无缝证明符合各种监管标准和政府法律,如 GDPR、HIPAA、PCI DSS、NERC-CIP 和 SOX。
实现对外部利益相关者和第三方的精细访问: 受感染的供应商或有权访问特权凭据的外包员工可能会成为薄弱环节,并可能增加网络事件的机会。但是,借助强大的 PASM 工具,管理员可以利用智能访问工作流,为第三方无缝配置临时的无密码特权访问,以访问特定的业务系统和应用程序。
对于 IT 团队来说,在选择 PAM 解决方案时做出谨慎的选择非常重要。以下是每个 PAM 解决方案应包含的核心 PASM 功能的列表:
以下是一些建议,可帮助您在组织中实施 PASM 策略时抢占先机:
对所有管理帐户及其相应的权限进行彻底审核
对所有管理帐户及其相应的权限进行彻底审核
实施实时 (JIT) 特权提升控制,以实现对关键资源的限时访问
识别非活动和孤立用户帐户,并撤销其所有相关权限
记录和审核整个企业的特权活动和会话
强制实施多重身份验证,作为特权帐户的附加安全层
通过定期进行网络安全培训,让您的员工了解宽松的特权访问威胁的危险,因为当涉及到内部威胁时,人为因素是最大的风险因素之一
ManageEngine PAM360 是一种 企业特权访问管理解决方案,使 IT 团队和管理用户能够建立严格的治理,并获得对关键用户帐户和公司资源的精细控制。
PAM360 的 PASM 模块具有利基功能,可帮助您有效地控制和监控对关键数据的访问。PAM360 的一些强大的 PASM 功能包括: