特权会话管理
通过控制、监控和记录高风险账户的特权会话,在打击特权访问滥用的斗争中建立稳固的立足点。
继续阅读,了解强大特权会话管理解决方案的细微差别,以及Access Manager Plus如何恰如其分地满足需求。
特权会话是指用户在访问IT基础设施中的系统、设备或应用程序时(无论是本地访问还是远程访问),使用管理权限启动的互联网会话,并包含该会话期间进行的所有活动。
特权会话可以是指数据库管理员或安全管理员通过远程桌面协议(RDP)或安全壳(SSH)会话在数据中心访问机密企业信息;第三方供应商通过远程访问工具远程访问特定的企业应用程序;或者维护工程师访问位于各种工业工厂和自动化系统(如可编程逻辑控制器(PLC)和监控与数据采集(SCADA)系统)中的关键服务器,以进行故障排除或软件补丁更新。
如果你是一名IT管理员,你就会知道,如今启动特权会话是一项有风险却又不可避免的任务。尽管现代与传统工具和技术的结合可以帮助企业简化远程访问并提高运营效率,但未经检查的特权访问也会在安全和合规方面带来一系列新挑战。
特权账户及其保护凭证能够接入组织最关键的系统,因为它们拥有最高的权限级别。毫不奇怪,特权账户一直是网络犯罪分子的首选目标。如果攻击者能够获得哪怕一个管理不当的特权账户的访问权限,他们就能轻易地将访问权限升级到网络内部最敏感的系统。由于这些恶意特权会话是通过攻击者冒充特权用户,利用合法特权账户发起的,因此它们在有疑问时被假定为合法。
敏感业务数据,如特权账户、证书、令牌、密钥和密码,是网络犯罪分子的首要目标,因为它们提供了对IT基础设施每个角落和缝隙的无限制特权访问。为了最大限度地降低风险,并在IT安全与生产力之间取得平衡,组织必须为特权用户提供适当且受控的访问权限,以确保关键系统的安全。如果特权会话没有受到严格控制,它们可能会被恶意行为者(包括内部和外部)利用,从而对企业数据造成不可逆转的损害。
当今,组织面临的最大挑战之一是未能理解其与第三方的关系及其相关风险。根据2020年波莱蒙研究所的一份报告(来源:Security Boulevard),53%的组织在过去两年中至少经历过一次由第三方导致的数据泄露事件。攻击者还会利用第三方的远程访问点作为突破口,并在适当的时候发起攻击。随着对远程供应商的依赖日益加深以及威胁形势的不断变化,如果没有适当的监控工具,就很难识别第三方的威胁和漏洞
在大多数组织中,员工往往拥有超出其角色实际所需的高级权限和访问权限,这为权限滥用埋下了隐患。这些权限通常未被察觉和管理,从而带来了多种安全风险,并对企业构成威胁。IT团队往往未能妥善处理过多访问权限所带来的后果,尤其是在涉及前员工时。未能取消前员工的身份和访问权限,会导致心怀不满的员工即使已不在组织内,也能访问敏感数据。
由于预算限制或对不安全访问方法风险的完全忽视,如今许多组织仍然依赖多种工具和手动、零碎的策略来为员工提供远程访问。这种分散的系统可能导致整个组织在远程访问策略和工作流程上存在巨大差异,留下多个安全漏洞,并使IT团队难以管理组织内的所有特权会话。
作为IT管理员,你如何应对这一现代威胁环境,并安全地制定策略,为员工、第三方供应商、应用程序和设备提供特权访问?你如何管理和监控在本地、混合和云基础设施中发生的每一项特权活动,并确保任何恶意活动都不会被忽视?你如何在不降低生产效率的情况下,锁定所有由不良行为者制造的后门,以保持安全?p
对于当今许多IT团队而言,处理这类问题似乎是一项艰巨的挑战。这就是特权会话管理发挥作用的地方。
特权会话管理(PSM)是身份和访问管理计划中的一个基本IT安全组件,它通过会话记录和审计来严格管理会话,从而规范对关键系统的特权访问。
特权安全管理(Privileged Security Management,PSM)工具通过持续管理、监控和审计特权用户(包括可信内部人员、第三方承包商、应用程序和系统)的活动,有助于加强监督和问责,并降低特权访问滥用的风险。它也是新兴的零信任模型中不可或缺的一部分,该模型鼓励组织不要自动信任用户总是正确使用其提升的访问权限,并确保严格遵循最佳安全实践。
特权状态管理(Privileged Session Management,PSM)工具可监控并记录每位特权用户从启动特权会话到会话结束期间的所有活动,使安全管理员能够实时主动识别并终止可疑或未经授权的活动。该工具为所有特权活动提供无可挑剔的审计追踪,有助于确保合规性并简化取证调查。将PSM解决方案作为其网络安全计划的一部分来实施,有助于企业降低安全风险、减少运营复杂性、提高对特权访问的可视性,并遵守合规标准。
一个特权会话管理器使IT和安全负责人能够拥有一个中心控制点,以管理全球任何地方对关键资源的访问,对访问路径进行精细控制,并定义其他特权远程用户如何连接到关键系统。
一款强大的权限管理系统(PSM)工具提供了一套易于使用的工作流程,既便于配置和取消配置特权访问,又能为特权用户建立完整的责任制度。该工具允许第三方(如承包商、供应商和外包员工)基于角色临时访问特定的企业系统或应用程序,而无需特权账户凭据。
实施PSM解决方案可通过单点控制实现分布式远程IT资产的集中管理。特权用户可以集中更新、故障排除和管理数据中心系统,从而促进快速高效的管理。它还通过标准化政策和高效监督确保提高工作质量和更好的问责制。
除了提供精细访问控制外,PSM解决方案还为管理员提供了适当的控制手段,以监控和管理地理上分散的资产。对特权远程会话的实时监控可提高组织透明度,并使IT管理员能够通过会话记录和影子功能主动防范内部攻击。
PSM(物理安全管理系统)工具可帮助组织满足行业合规标准,如SOX(萨班斯-奥克斯利法案)、HIPAA(健康保险流通与责任法案)、ICS CERT(工业控制系统网络安全应急响应团队)、GLBA(金融服务现代化法案)、PCI DSS(支付卡行业数据安全标准)、FDCC(联邦数据保护合规计划)和FISMA(联邦信息安全管理法案),并确保其所有数据的安全。将PSM作为全面网络安全战略的一部分来实施,可使组织记录与关键IT基础设施和特权访问相关的所有活动,从而轻松满足审计和合规要求。
特权会话管理器通过消除对关键系统的直接访问来帮助保护这些系统。它充当代理网关服务器,将用户设备的特权连接通过隧道传输到目标系统。这可以防止未经授权的系统进行意外访问,将所有访问公司系统的途径限制在此工具上,并允许更安全的通信,而无需提供机密密码。
Access Manager Plus是ManageEngine提供的一款安全的远程访问和特权会话管理工具,可帮助您监管和监控组织中的所有远程特权访问。它作为终端用户设备和目标系统之间的代理服务器,同时防止凭证暴露以及通过不安全和未经授权的途径直接访问关键系统。Access Manager Plus通过会话影子、记录和审计来帮助改进对特权用户活动的监督和问责
在日常工作中,IT团队通常会处理用户和第三方供应商提出的许多永久性和临时性访问请求,以访问各种企业系统。为了确保有效管理这些特权访问请求并保持业务例程的不间断运行,IT团队必须将保持工作流程的顺畅作为其特权安全管理(Privileged Security Management,PSM)策略的一部分。
在Access Manager Plus中配置访问控制,方法是为特权会话设置审批要求,要求用户提供理由和/或与现有票务系统集成的相应票务ID。您还可以将某些资源或应用程序与用户相关联,使他们有权请求访问,并确保仅授予所需的最小访问权限,且仅在最少的时间内授予。
Access Manager Plus 作为一个代理,通过它启动特权会话并将其转发到目标系统。由于用户设备与目标系统之间没有直接连接,因此企业网络能够免受未经授权的访问以及用户系统上可能存在的任何病毒或恶意软件的攻击
为员工和外部利益相关者提供安全可控的RDP、SSH、SQL或VNC访问权限,以访问您本地、云和混合基础设施中的敏感系统,同时不会暴露特权凭证。允许用户同时启动多个远程会话以提高工作效率。
Access Manager Plus 可让您与处于活动远程会话的用户进行协作,以共享知识、监控用户活动是否符合既定的安全策略,或协助进行故障排除。p
影子特权会话涉及关键系统和第三方供应商,用于主动发现欺诈活动,并确保只有授权用户才能按照其被允许执行的活动范围访问机密系统。如果在特权会话期间发现可疑或未经授权的活动,可以立即终止会话,并通知相关安全团队。
特权会话录制提供用户特权访问的防篡改证据。如果攻击者突破您的防御并访问您的系统,您可以轻松过滤和查看过去的会话录制,以发现来源并调整策略以防止再次发生攻击。
默认情况下,Access Manager Plus 会记录从应用程序启动的所有 RDP、VNC、SSH 和 SQL 会话。可以使用任何详细信息(如连接名称、启动会话的用户或启动会话的时间)来追踪记录的会话。p
审计跟踪有助于识别可疑行为。自动化审计日志使管理员能够识别系统实施问题、操作问题、异常或可疑活动以及其他系统错误。各种合规标准,如HIPAA、SOX和PCI DSS,都要求组织监控并记录特权账户执行的所有操作,而会话管理则提供了一个不可变的审计日志,可以与审计人员共享,以证明合规性。
Access Manager Plus 的不可变审计日志记录了所有与特权账户活动、计划任务和已完成任务以及远程访问相关的事件。这些数据有助于遵守常规内部审计和取证调查,并能够证明谁在何时何地以及为何访问了哪些资源或文件
您还可以将Access Manager Plus与现有的安全信息和事件管理工具集成,通过syslog消息导出特权访问数据,或与网络管理工具集成,通过SNMP陷阱接收与访问相关的日志。这样做可以让您向相关团队通知潜在的违规行为,并据此确定优先级并执行补救措施
