信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

特權(quán)賬戶往往能夠訪問到企業(yè)中最重要的數(shù)據(jù)和信息，因此會成為攻擊者競相追逐的目標(biāo)。為了保障數(shù)字化業(yè)務(wù)的安全開展，組織必須對各種特權(quán)賬號的使用情況和異常行為進(jìn)行有效的監(jiān)控和管理。但在實際應(yīng)用中，企業(yè)要真正落地特權(quán)訪問管理（PAM）并不容易，需要借助全面技術(shù)策略的支撐，實現(xiàn)對所有數(shù)字化資產(chǎn)的特權(quán)賬戶可見和可控。

特權(quán)訪問管理的挑戰(zhàn)

研究人員發(fā)現(xiàn)，很多特權(quán)賬戶的使用者并不能充分了解對特權(quán)賬號的管理要求，往往為了簡化日常工作流程，而忽視了安全后果。企業(yè)在開展特權(quán)訪問管理時，會經(jīng)常面臨以下常見的挑戰(zhàn)：

01

對特權(quán)賬戶的保護(hù)不足

保護(hù)特權(quán)賬戶包括很多方面的要求，由于企業(yè)的IT環(huán)境在不斷變化，特權(quán)賬戶的歸屬也在不斷變化。當(dāng)發(fā)生人事變動，或者進(jìn)行了系統(tǒng)應(yīng)用升級時，特權(quán)賬戶的使用情況也將發(fā)生變化，如果不能進(jìn)行妥善處理，就會留下內(nèi)部賬戶權(quán)限過大、僵尸特權(quán)賬號等安全隱患。此外，密碼是保護(hù)特權(quán)賬戶不被非法使用的關(guān)鍵，有很多安全管理密碼的建議，比如使用復(fù)雜的密碼和定期更新密碼，但很少有人愿意去做。

02

特權(quán)賬號共享濫用

特權(quán)賬號應(yīng)該只授予那些為了完成工作而實際需要它們的人。但在實際工作中，特權(quán)賬戶卻常常被運維人員違規(guī)共享和濫用。有一種常見的情況是，一個團(tuán)隊會共享一個特權(quán)賬戶來管理相關(guān)應(yīng)用程序、網(wǎng)站或云存儲服務(wù)，因為創(chuàng)建多個特權(quán)賬戶需要經(jīng)歷多次審批流程。違規(guī)共享特權(quán)賬戶將會大大降低其應(yīng)用可見性，如果有多人使用同一個特權(quán)賬戶，將無法分辨到底誰做了什么。一旦發(fā)生了安全事件，也無法判斷該由誰來負(fù)責(zé)。

03

過度授權(quán)和使用特權(quán)賬號

當(dāng)特權(quán)賬戶的使用頻率超過工作所需時，就會增加組織的安全隱患和脆弱性，因此需要對其進(jìn)行合理授權(quán)，持續(xù)監(jiān)管，并嚴(yán)禁用特權(quán)賬戶執(zhí)行日常性工作任務(wù)。但是，即便企業(yè)將此定為安全管理制度中的一項明確要求，特權(quán)用戶也往往會忽略或破壞它。

04

網(wǎng)絡(luò)安全意識缺乏

無論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則，都可能會有人不遵守這些規(guī)則。甚至很多員工會認(rèn)為：我們沒有被攻擊的價值，因此不需要那么多的安全防護(hù)。然而，今天的網(wǎng)絡(luò)攻擊是無孔不入的。因此，企業(yè)應(yīng)該重視并加強(qiáng)網(wǎng)絡(luò)安全意識培訓(xùn)，使包括特權(quán)用戶在內(nèi)的所有員工都養(yǎng)成遵守組織安全政策的工作習(xí)慣。

特權(quán)訪問管理的最佳實踐

日前，安全研究人員收集整理了有效進(jìn)行特權(quán)訪問管理的10個最佳實踐，可以為企業(yè)組織后續(xù)開展PAM建設(shè)工作提供參考。

01

識別所有的特權(quán)賬戶

企業(yè)開展特權(quán)訪問管理的第一步就是要梳理和識別出組織究竟有多少特權(quán)賬戶。研究數(shù)據(jù)顯示，一個企業(yè)中的特權(quán)賬戶數(shù)量往往是普通賬戶數(shù)量的3-4倍。顯然，要充分掌握有哪些特權(quán)賬戶是一件非常復(fù)雜的工作。企業(yè)還需要定期對自己的所有賬戶資產(chǎn)進(jìn)行系統(tǒng)整理，并且對和資產(chǎn)相關(guān)的所有權(quán)限進(jìn)行整理與管理。

02

實施最小特權(quán)原則

最小特權(quán)原則（POLP）是任何身份和訪問管理（IAM）策略中的最佳實踐。執(zhí)行POLP意味著消除長期性的特權(quán)使用，特權(quán)賬戶并不可以被無限制地賦予不需要的管理權(quán)限，從特權(quán)賬戶建立開始，就需要對其進(jìn)行合理的權(quán)限使用限制。在權(quán)限提升時，應(yīng)該有非常具體的理由才有望批準(zhǔn)，還要有約束屬性，比如位置、設(shè)備和操作類型。

03

運用零信任安全模型

零信任安全模型與傳統(tǒng)觀念形成了對比。在零信任安全模型中，除非用戶和設(shè)備經(jīng)過檢查、通過身份驗證，否則被拒絕訪問資源。從長期看，PAM建設(shè)應(yīng)該有效融合到零信任建設(shè)的范疇中，無論是用戶、設(shè)備、應(yīng)用程序還是請求網(wǎng)絡(luò)訪問的API，在被有效驗證身份和真實性之前，拒絕其對資源的訪問將是默認(rèn)選項。

04

實現(xiàn)全面的特權(quán)用戶監(jiān)控

企業(yè)的人員在不斷變化，因此需要根據(jù)人員與IT環(huán)境的變化追蹤每個特權(quán)用戶是否依然有必要保留之前的權(quán)限。針對賬戶的權(quán)限變化進(jìn)行監(jiān)控，也能防止異常的特權(quán)賬戶使用行為。

組織應(yīng)該將管理賬戶與業(yè)務(wù)賬戶區(qū)分開，并將管理賬戶中的審計功能與讀取、編輯、寫入和執(zhí)行等系統(tǒng)功能分開來。只有確保每個特權(quán)賬戶只擁有執(zhí)行特定任務(wù)的特權(quán)，并消除不同賬戶之間的重疊，才能真正建立起有效的特權(quán)訪問管理系統(tǒng)。當(dāng)新的組件和資產(chǎn)被添加到網(wǎng)絡(luò)中時，實現(xiàn)自動化資產(chǎn)發(fā)現(xiàn)、所有權(quán)歸屬和訪問評估是非常有必要的，如果發(fā)現(xiàn)任何違規(guī)和異常行為，應(yīng)該立刻撤銷用戶的特權(quán)。

05

部署基于屬性的訪問控制

基于屬性的訪問控制（ABAC）可以確保組織用更可靠的方法來制定針對不同訪問對象的管控策略，從而確保它們受到安全的保護(hù)，遠(yuǎn)離非法的用戶訪問。除了角色和資產(chǎn)外，ABAC還包括操作行為和環(huán)境，其中操作行為（讀取、寫入、復(fù)制和刪除）定義了用戶可以對訪問對象做什么，而環(huán)境則根據(jù)更廣泛的上下文，明確了相應(yīng)資源何時在何地被使用，包括設(shè)備本身和相關(guān)的支持協(xié)議。

06

持續(xù)監(jiān)測和警報

特權(quán)用戶監(jiān)控（PUM）不應(yīng)被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶活動監(jiān)控，則無法確保用戶操作的完全可見性或正確保護(hù)關(guān)鍵數(shù)據(jù)。PUM是一個持續(xù)的過程，需要不斷改進(jìn)。確保不斷改進(jìn)特權(quán)用戶監(jiān)視和管理過程，并使用PUM最佳實踐和先進(jìn)技術(shù)解決方案增強(qiáng)它們。此外，特權(quán)會話管理（PSM）也是一項必備的功能，便于管理員控制、監(jiān)測和記錄所有的特權(quán)使用會話，保證任何可疑活動被及時發(fā)現(xiàn)和消除。

07

加強(qiáng)對共享賬戶的管理

加強(qiáng)對共享賬戶的管理對于保障特權(quán)訪問安全至關(guān)重要。盡管共享特權(quán)賬戶很方便，但卻阻礙了用戶活動監(jiān)控和審計的過程，因為如果不使用特定的工具，很難區(qū)分用戶的行為。企業(yè)可以利用輔助用戶身份驗證措施，對需要共享賬戶的所有用戶進(jìn)行身份區(qū)分，同時有效地審計和監(jiān)控他們的活動。

08

選擇合適的PAM技術(shù)方案

每家企業(yè)的IT環(huán)境都有所不同，因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)訪問管理技術(shù)手段應(yīng)用和部署。企業(yè)應(yīng)該和專業(yè)的PAM服務(wù)商合作，在企業(yè)特性應(yīng)用需求以及自身網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，打造適合企業(yè)的PAM管理方案。由于大多數(shù)網(wǎng)絡(luò)安全解決方案僅支持種類有限的終端操作系統(tǒng)平臺，如何實現(xiàn)跨平臺的全面管理也是PAM建設(shè)中需要重點考慮的問題。

09

快速的應(yīng)用備份和恢復(fù)

企業(yè)要使用可靠的打碎玻璃（break-glass）方法，針對可能的攻擊事件恢復(fù)場景做好提前規(guī)劃和準(zhǔn)備。一旦系統(tǒng)發(fā)現(xiàn)特權(quán)賬號存在異?；顒有袨?，其訪問會話應(yīng)該被自動關(guān)閉，從而防止威脅分子的進(jìn)一步滲入和惡意利用。在特權(quán)濫用導(dǎo)致真實的攻擊事件發(fā)生后，企業(yè)應(yīng)該使用高可用性設(shè)計和高級災(zāi)難恢復(fù)流程（比如熱站點或冷站點，而不是簡單的本地備份和恢復(fù)），確保業(yè)務(wù)系統(tǒng)應(yīng)用的連續(xù)性和彈性。

10

開展網(wǎng)絡(luò)安全培訓(xùn)

組織安全意識培訓(xùn)對于有效監(jiān)控特權(quán)用戶非常重要。沒有適當(dāng)?shù)木W(wǎng)絡(luò)安全知識的用戶可能不理解監(jiān)控它們的必要性，甚至可能試圖欺騙或破壞所實施的安全工具和策略。增強(qiáng)員工的網(wǎng)絡(luò)安全意識可以減少特權(quán)用戶的犯錯次數(shù)，使他們更加注意賦予他們的特權(quán)，并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外，當(dāng)知道如何識別網(wǎng)絡(luò)安全威脅時，員工也更有可能注意到可疑活動并上報。