更新时间:2024年3月20日 阅读时长:约5分钟
特权访问管理(PAM)是指一组IT安全管理原则,用于帮助企业隔离、治理有关特权的访问,控制授予谁访问哪些终端,以及以何种级别的权限访问,并监控授权用户使用该访问权限执行的操作。
从广义上讲,特权访问是一种授予访问者特殊权限以访问到IT系统的行为,具有特权访问权限的用户可以执行标准用户所不能执行的操作。常见的特权操作如:修改服务器设置、访问业务数据系统、安装新程序、运行关键服务、添加用户配置文件、进行维护活动或更改网络配置。企业IT团队在很大程度上依赖于关键用户帐户(称为特权帐户),对用户授权网络中信息数据或资源的访问权限。
虽然特权帐户仍然是当前IT场景中特权访问的首选,但也存在其它诸如生物识别身份验证和智能卡等方式。在一些特定场景下,企业或组织希望对物理服务器、工作站、数据中心设备或任何包含敏感信息的系统进行全访问的保护,包括禁止直接访问这些设备。在这种情况下,对机器的直接物理访问也意味着用户具有这种特权访问的资格。
一:谁是特权用户?
具有一个或多个特权帐户或通过任何其他模式,被授权对部分或整个IT基础设施网络进行高级访问的用户称为特权用户。与我们紧密相关的特权用户包括系统管理员、网络架构师和管理员、数据库的管理员、业务应用程序的管理员、DevOps工程师和其他IT主管等IT工作者。有时,帮助公司进行IT运营或联络业务需求和维护的第三方服务商也可以从访问企业或机构的内部网络,他们也是我们所认定的特权用户。通常,特权用户是一种特定类型的企业IT用户,IT用户也包括标准用户和高级用户:
标准用户:即企业环境中的普通用户,他们的帐户用于每天访问业务应用程序以执行常规的业务操作。标准用户通常无法访问任何敏感信息或系统。
高级用户:与标准用户相比,高级用户有一些额外的权限。一个常见的例子是帮助最终用户维护PC的内部IT人员。这样的用户会得到一个提升了特定访问权限的边际帐户,允许他们执行如远程访问本地工作站和数据库等的操作,因此他们可以被称为高级用户。
特权用户:这些是企业中最重要的用户,特权用户的数量通常是有限的。他们对IT环境的风险最高,需要全天候关注。
特权访问管理是通过安全地共享特定的特权帐户到特定的用户,将其工作所需的最小特权访问权进行授予的过程。它还涉及到对特权用户的持续监控,以确保其不会滥用所获得的特权。此外,对特权的授予也应定期检查,确保在用户的角色发生变化时,收回其所不需要的特权。
二:为什么特权访问管理对企业很重要?
获得关键信息系统的特权是网络攻击的主要目标,一个特权用户帐户落入不法之徒手中,对于企业而言将是致命的。不受控的特权是当今企业的无声威胁。事实上,泰雷兹数据威胁报告就将特权访问列入其最大的数据安全威胁列表。此外,Verizon 2019年的一份报告指出滥用特权访问是各行各业大多数安全事件和数据泄露的根源。此外,它也是最难发现的攻击行为之一,一些由特权滥用导致的漏洞实际上可能在数月或更长时间内都不会被发现。
三:特权访问和用户帐户管理不善会使企业面临以下风险:
1. 黑客利用不知情的员工:
特权用户帐户是攻击者的最爱,利用特权账号在网络中实施数据窃取,往往让管理者很难或及时发现。黑客通常利用网络钓鱼、欺骗网站和其他策略欺诈用户,窃取他们的信息,从而让攻击者绕过公司的安全措施,获得内部网络访问权限。
2. 内部人员的特权滥用:
令人意想不到的是,最大的威胁来自机构内部。出于个人利益,内部的特权用户所造成的损害可能会比外部威胁更大。对内部人员固有信任使他们能够利用现有的特权,盗取各种敏感数据,将其出售而不被注意到,直到一切为时已晚。Verizon 2019年内部威胁报告指出,在该公司之前的五份数据泄露调查报告(2014-2018年)中,只有4%内部人员特权滥用漏洞被发现。
3. 来自员工的过失行为:
没有适当的特权访问管理措施,对于缺乏安全敏感性的员工,将是一个难以管理的威胁。例如随意记录、放置关键的用户凭据,让黑客找到,或是与权限级别不符的员工分享特权。一个典型的例子是DevOps工程师将他们的代码(尤其包含内部服务器、应用的身份令牌)上传到GitHub这样的开放平台上,而忽略代码的维护。
4. 来自供应商和前雇员的特权滥用:
企业的供应商是也是企业广泛业务网络的组成部分之一,这包括承建商、顾问、合作伙伴、第三方维护团队和服务提供商,他们也需要对您的内部基础设施进行特权访问,以满足各种业务需求。这也意味着此类第三方也能够以特权身份进入企业的内部网络,与内部人员构成的威胁一致。另一种威胁形式是心怀不满或别有他图的前雇员,虽然其可能已经离开企业,但所拥有的特权若未被及时收回,他们依然可以利用它进行非法访问,窃取数据,并将其出售给黑客。
5. 超过必要的权限:
通常情况下,用户会获得完全特权,也就是说,他们拥有的访问权限远远超过了他们履行工作职责所需的权限。也就是在获得的特权与所需的特权之间出现了差距,在这种情况下,重要的是应用最小特权原则--即仅提供完成工作任务所需的最低权限。如果没有适当的特权访问管理系统来实施最低特权安全性和监督用户的操作,这种权限可能引发滥用。
6. 特权一旦授予,则永远不会取消!
特权被遗忘是危险的,管理者在授予用户特权访问后,忘记回收,会造成潜在风险。没有一个工具来跟踪谁被赋予了什么特权,撤回权限可能是一个繁琐的任务。这意味着即使用户的工作完成了,他们仍然拥有特权,并且有机会执行未经授权的操作。在这种情况下,特权访问管理工具可以帮助IT经理为预设的用户划定完成任务所需的时间,规定的时间到了,则利用工具自动撤销有关权限。
7. 在调查取证时,缺乏记录追踪:
这可能算不上威胁,但是可视作一种巨大的劣势。如果出现特权事故,没有全面的特权活动日志和明确的证据来提供相关事件的背景信息,将造成取证失败,进而破坏您在客户中建立的信任和品牌声誉。
特权访问,需要强大的控制和持续监控进行完全管理,否则它可能致使您的机构面临数据风险过度曝光导致业务中断、诉讼、调查成本和声誉受损。正如Gartner所说,特权访问管理应该是您最重要的长期安全项目之一,以消除网络安全态势中的薄弱环节,并成功化解新出现的特权访问风险。
四:在您的特权访问管理程序中引入常见的最佳实践
特权访问管理最佳实践可以分为三个阶段,即对特定系统提供特权访问之前、期间和之后。
五:授权特权访问之前应遵循的安全最佳实践
在授予用户特权之前,特权访问的管理往往从评估企业内部的网络、虚拟平台以及云上的关键资源开始。然后是锁定这些资源上的特权账户,以及SSH密钥(或任何能够提升用户权限级别的验证实体,例如智能卡),并将这些资源及账户整合到一个安全的中央保险库中。然后实行多层加密保护措施,如AES-256或RSA4096,对所有数据进行加密保护。其它的措施还有:
