信息化觀察網(wǎng)

特權(quán)訪問管理 (PAM) 由策略和技術(shù)組成，這些策略和技術(shù)用于對 IT 環(huán)境中經(jīng)提升的用戶、賬戶、進(jìn)程和系統(tǒng)訪問及權(quán)限（“特權(quán)”）施加控制。通過實現(xiàn)恰當(dāng)?shù)奶貦?quán)訪問控制級別，PAM 幫助公司企業(yè)壓縮其攻擊界面，防止或者至少緩解來自外部攻擊和內(nèi)部人作惡或疏忽導(dǎo)致的破壞。

雖然特權(quán)管理包含多個策略，其核心目標(biāo)卻是實現(xiàn)最小權(quán)限，也就是將用戶、賬戶、應(yīng)用、系統(tǒng)、設(shè)備（如物聯(lián)網(wǎng)設(shè)備）和計算過程的訪問權(quán)限限制到僅供執(zhí)行常規(guī)例程和授權(quán)行為所必需的最低限度。

PAM 極大改變了企業(yè)保護(hù)關(guān)鍵系統(tǒng)訪問的方式。通過使用憑證保管庫和其他會話控制工具，PAM 使管理人員能夠在大幅降低泄露風(fēng)險的情況下維護(hù)特權(quán)身份。而通過將特權(quán)憑證集中到同一個地方，PAM 系統(tǒng)可確保憑證的高安全等級，控制誰能訪問憑證，記錄所有訪問并監(jiān)視任何可疑活動。

行業(yè)領(lǐng)袖佛瑞斯特研究所 (Forester) 和 Gartner 公司均將特權(quán)管理列為 CISO 首要關(guān)注重點。他們做出這一判斷毫不令人意外。PAM 保護(hù)公司特有的數(shù)字身份，這些身份若被盜，整個公司可能陷入完全停轉(zhuǎn)狀態(tài)。

特權(quán)憑證是極具吸引力的目標(biāo)

正是特權(quán)賬戶存在本身引發(fā)了諸多事端。如果單個數(shù)字身份可賦予此類不受限制的訪問，該身份暴露的后果就可能是災(zāi)難性的。黑客十分了解這一事實，所以超級用戶是他們的主要目標(biāo)。

因具有較高權(quán)限，可訪問憑證信息，可更改設(shè)置，特權(quán)用戶賬戶成了黑客重要的攻擊目標(biāo)。一旦被盜，公司運營有可能受到影響。實現(xiàn) PAM 的賬戶類型可包括應(yīng)急網(wǎng)絡(luò)安全程序、本地管理員、微軟活動目錄 (AD) 、應(yīng)用或服務(wù)，以及域管理員賬戶。

過去幾年的攻擊事件來看，攻擊者不再 “黑” 進(jìn)公司以尋求數(shù)據(jù)泄露；他們利用弱憑證、被盜憑證或被泄憑證。一旦進(jìn)入企業(yè)網(wǎng)絡(luò)，他們會在網(wǎng)絡(luò)上擴(kuò)散和橫向移動，搜尋可幫他們獲得企業(yè)關(guān)鍵基礎(chǔ)設(shè)施及敏感數(shù)據(jù)的特權(quán)賬戶與憑證。

74% 的數(shù)據(jù)泄露涉及特權(quán)憑證濫用

佛瑞斯特研究所估計，盡管網(wǎng)絡(luò)安全預(yù)算不斷增長，80% 的安全事件涉及特權(quán)訪問濫用，66% 的公司企業(yè)平均被入侵 5 次或更多次。一份新的調(diào)查支持佛瑞斯特研究所的估測，發(fā)現(xiàn)遭遇數(shù)據(jù)泄露的公司中 74% 承認(rèn)涉及特權(quán)賬戶訪問。

更令人擔(dān)憂的是，該調(diào)查研究發(fā)現(xiàn)，大多數(shù)公司企業(yè)仍在授出太多信任與權(quán)限，并未重視 PAM 也未有效實現(xiàn) PAM。從業(yè)者應(yīng)將 PAM 等關(guān)鍵基礎(chǔ)安全控制視為數(shù)字轉(zhuǎn)型驅(qū)動器。然而，公司企業(yè)并未采取最基本的措施來保護(hù)特權(quán)憑證。

超半數(shù)受訪者 (52%) 根本沒有密碼保管庫。

65% 至少經(jīng)常共享系統(tǒng)和數(shù)據(jù)的 root 賬戶或特權(quán)訪問。

超過 1/5 (21%) 的受訪者仍未部署特權(quán)管理訪問權(quán)限的多因子身份驗證。

除了沒實現(xiàn)基本 PAM 解決方案，很多公司企業(yè)還沒實施可減少風(fēng)險的基本策略和過程。比如說，63% 的受訪者指出，其公司撤銷離職人員的特權(quán)訪問通常需要一天以上的時間，期間公司暴露在暗網(wǎng)售賣特權(quán)訪問憑證等報復(fù)性利用的風(fēng)險之下。

數(shù)字轉(zhuǎn)型改變了企業(yè)業(yè)務(wù)運營的方式，創(chuàng)建了無邊界環(huán)境，特權(quán)訪問不再適用于網(wǎng)絡(luò)內(nèi)系統(tǒng)和資源。特權(quán)訪問應(yīng)覆蓋基礎(chǔ)設(shè)施、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備、云環(huán)境、大數(shù)據(jù)項目、DevOps 和容器或微服務(wù)。此外，高級持續(xù)性威脅 (APT) 為企業(yè)的金融資產(chǎn)、知識產(chǎn)權(quán)和聲譽帶來了持續(xù)增加且不斷變化的風(fēng)險。

調(diào)查發(fā)現(xiàn)，受訪者并未給予此新風(fēng)險態(tài)勢應(yīng)有的重視，僅在有限的現(xiàn)代用例上控制了特權(quán)訪問。

●45% 的受訪者未以特權(quán)訪問控制措施保護(hù)公共和私有云工作負(fù)載。

●58% 未以特權(quán)訪問控制保護(hù)大數(shù)據(jù)項目。

●68% 未以特權(quán)訪問控制保護(hù)集線器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備。

●72% 未以特權(quán)訪問控制保護(hù)容器。

特權(quán)訪問的另一個問題是，很多應(yīng)用并未預(yù)留 PAM 解決方案集成接口——即便 Gartner 《2018 PAM 魔力象限》報告顯示，采用規(guī)范變更管理過程的公司企業(yè)中 40% 計劃在 2020 年嵌入或集成 PAM 工具以減小其風(fēng)險界面。