特权会话是由具有管理权限的用户在本地或远程访问 IT 基础架构中的系统、设备或应用程序时启动的 Internet 会话,包括该会话期间执行的所有活动。
特权会话可以是数据库或安全管理员,通过 RDP 或 SSH 会话访问数据中心的机密公司信息;通过远程访问工具远程访问特定企业应用程序的第三方供应商;或维护工程师访问位于各种工业工厂和自动化系统(如 PLC 和 SCADA)中的关键服务器,以进行故障排除或软件修补。
如果您是 IT 管理员,您就会知道今天启动特权会话是一项有风险但不可避免的任务。尽管现代和传统工具和技术的混合可以帮助企业促进远程访问并提高运营效率,但不受控制的特权访问也在安全性和合规性方面带来了许多新的挑战。
特权帐户和保护它们的凭据被利用到组织的最关键系统中,因为它们具有最高的权限级别。毫不奇怪,特权帐户仍然是网络犯罪分子的成熟目标。如果攻击者只能访问一个管理不善的特权帐户,他们可以轻松地升级对网络内最敏感系统的访问权限。此类恶意特权会话享有怀疑的好处,因为它们是由冒充特权用户的攻击者通过合法特权帐户启动的。
敏感的业务数据(如特权帐户、证书、令牌、密钥和密码)是网络犯罪分子的主要目标,因为它们提供对 IT 基础架构每个角落和缝隙的不受限制的特权访问。为了最大限度地降低风险并平衡 IT 安全与生产力,组织必须为特权用户提供适当的受控访问权限,以保护关键系统。如果特权会话未通过严格控制进行管理,则它们可能会受到恶意行为者(外部和内部)的破坏,从而对公司数据造成不可逆转的损害。
当今组织面临的最大挑战之一是未能了解其第三方关系及其相关风险。根据 2020 年 Ponemon Institute 的一份报告,53% 的组织在过去两年中至少经历过一次由第三方造成的数据泄露。攻击者还利用第三方远程访问点站稳脚跟,并在适当的时候发动攻击。随着对远程供应商的日益依赖和威胁形势的不断变化,如果没有适当的监控工具,就很难识别第三方威胁和漏洞。
在大多数企业中,员工通常拥有过多的高级特权和访问权限,而这些特权和访问权限实际上对其角色来说是不必要的,这为特权滥用铺平了道路。这些特权通常不会被注意到和托管,从而带来一些安全风险并危及企业。IT团队通常无法处理过多访问权限的后果,尤其是在涉及前员工时。如果未能取消前员工的身份和访问权限,心怀不满的员工也可以访问敏感数据。
如今,由于预算限制或完全不了解不安全访问方法的风险,许多组织仍然依赖多种工具和手动、零碎的策略来为员工提供远程访问。这种分散的系统可能会导致整个组织的远程访问策略和工作流存在巨大差异,留下几个安全漏洞,并使 IT 团队管理组织的所有特权会话变得复杂。
作为 IT 管理员,您如何压倒这种现代威胁环境,并安全地制定策略,为员工、第三方供应商、应用程序和设备提供特权访问?您如何管理和监控本地、混合和云基础架构中发生的每个特权活动,并确保不会忽视恶意活动?您如何锁定不良行为者制造的所有后门以保持安全而不会降低生产力?
对于当今的许多 IT 团队来说,处理此类问题的折磨似乎是一项艰巨的挑战。这就是特权会话管理的用武之地。
特权会话管理 (PSM) 是身份和访问管理计划的基本 IT 安全组件,该计划规范对关键系统的特权访问,同时通过会话记录和审核严格管理会话。
PSM 工具通过持续管理、监视和审核特权用户(包括受信任的内部人员、第三方承包商、应用程序和系统)执行的活动,帮助加强监督和问责制,并降低特权访问滥用的风险。它也是新兴的零信任模型不可分割的一部分,该模型鼓励组织不要自动相信用户始终使用其提升的访问权限来处理正确的事情,并确保虔诚地遵循最佳安全实践。
PSM 工具监控和记录每个特权用户的活动,从他们启动特权会话到会话结束,使安全管理员能够实时主动识别和终止可疑或未经授权的活动。它为所有特权活动提供无懈可击的审计跟踪,从而实现合规性并简化取证调查。实施 PSM 解决方案作为其网络安全计划的一部分可帮助企业降低安全风险、降低运营复杂性、提高对特权访问的可见性并遵守合规性标准。
特权会话管理器允许 IT 和安全主管拥有一个中央控制点,以管理从全球任何地方对关键资源的访问,对访问路径进行精细控制,并定义其他特权远程用户如何连接到关键系统。
强大的 PSM 工具提供易于使用的工作流程,可轻松配置和取消配置特权访问,同时为特权用户创建完整的问责制。它使第三方(如承包商、供应商和外包员工)能够进行基于角色的临时访问,以访问特定的企业系统或应用程序,而无需特权帐户凭据。
实施 PSM 解决方案有助于通过单点控制集中管理分布式远程 IT 资产。特权用户可以集中更新、故障排除和管理数据中心系统,从而促进快速、高效的管理。它还通过标准化政策和有效监督确保提高工作质量和加强问责制。
除了提供精细访问外,PSM 解决方案还为管理员提供了正确的控制,以监控和管理地理位置分散的资产。实时监控特权远程会话可提高组织透明度,并使 IT 管理员能够通过会话记录和影子主动缓解内部攻击。
PSM 工具可帮助组织满足行业合规性标准,如 SOX、HIPAA、ICS CERT、GLBA、PCI DSS、FDCC 和 FISMA,并允许他们保护所有数据。将 PSM 作为全面网络安全战略的一部分实施,使组织能够记录与关键 IT 基础架构和特权访问相关的所有活动,帮助他们毫不费力地遵守审计和合规性要求。
特权会话管理器通过消除对关键系统的直接访问来帮助保护关键系统。它充当代理网关服务器,用于通过隧道从用户设备到目标系统的特权连接。这可以防止来自未经授权的系统的意外访问,将公司系统的所有访问路径限制为此工具,并允许更安全的通信,而无需提供机密密码。
Access Manager Plus 是 ManageEngine 提供的安全远程访问和特权会话管理工具,可帮助您规范和监控组织中的所有远程特权访问。它充当最终用户设备和目标系统之间的代理服务器,同时防止凭据泄露和通过不安全和未经授权的途径直接访问关键系统。Access Manager Plus 通过会话重影、记录和审核帮助改进对特权用户活动的监督和问责。
每天,IT 团队通常会处理用户和第三方供应商提出的许多永久和临时访问请求,以访问各种公司系统。为了确保有效管理这些特权访问请求并不间断地运行业务例程,IT 团队必须维护简化的工作流,作为其 PSM 策略的一部分。
通过设置特权会话的审批要求,在 Access Manager Plus 中配置访问控制,强制用户提供原因和/或可与现有票证系统集成的相应票证 ID。您还可以将某些资源或应用程序关联到他们有权请求访问权限的用户,并确保在最短时间内仅授予所需的最小访问权限。
Access Manager Plus 充当代理,通过该代理启动特权会话并将其中继到目标系统。由于用户设备和目标系统之间没有直接连接,因此可以防止未经授权的访问以及用户系统上可能存在的任何病毒或恶意软件。
为员工和外部利益相关者提供对本地、云和混合基础架构中敏感系统的安全和受控 RDP、SSH、SQL 或 VNC 访问,而不会暴露特权凭据。允许用户同时启动多个远程会话以提高工作效率。
Access Manager Plus 允许您在活动的远程会话上与用户协作,以共享知识、监控用户活动是否符合既定的安全策略或协助进行故障排除。
涉及关键系统和第三方供应商的影子特权会话,以主动发现欺诈活动,并确保只有授权用户才能根据允许他们执行的活动范围访问机密系统。如果您在特权会话期间发现可疑或未经授权的活动,则可以立即终止会话并提醒相关安全团队。
特权会话录制提供用户特权访问的防篡改证据。如果攻击者突破您的防御并访问您的系统,您可以轻松过滤和查看过去的会话记录,以发现来源并调整策略以防止再次攻击。
默认情况下,Access Manager Plus 会记录从应用程序启动的所有 RDP、VNC、SSH 和 SQL 会话。可以使用任何详细信息(例如连接名称、启动会话的用户或启动会话的时间)跟踪录制的会话。
审核跟踪有助于识别可疑行为。自动审核日志使管理员能够识别系统实施问题、操作问题、异常或可疑活动以及其他系统错误。各种合规性标准(如 HIPAA、SOX 和 PCI DSS)希望组织监视和捕获特权帐户执行的所有操作,会话管理提供不可变的审核日志,可以与审核员共享以证明合规性。
Access Manager Plus 的不可变审核日志包含有关特权帐户活动、计划和已完成任务以及远程访问的所有事件的记录。这些数据有助于遵守定期的内部审计和取证调查,并证明谁访问了哪些资源或文件,在何处、何时以及为什么访问。
您还可以将 Access Manager Plus 与现有安全信息和事件管理工具集成,以通过系统日志消息导出特权访问数据,或与网络管理工具集成,以通过 SNMP 陷阱接收与访问相关的日志。这样做可以让您通知相关团队潜在的违规行为,并相应地确定优先级并执行补救措施。
