本文來自微信公眾號“安全牛”。
特權(quán)賬戶往往能夠訪問到企業(yè)中最重要的數(shù)據(jù)和信息,因此會成為攻擊者競相追逐的目標。為了保障數(shù)字化業(yè)務(wù)的安全開展,組織必須對各種特權(quán)賬號的使用情況和異常行為進行有效的監(jiān)控和管理。但在實際應(yīng)用中,企業(yè)要真正落地特權(quán)訪問管理(PAM)并不容易,需要借助全面技術(shù)策略的支撐,實現(xiàn)對所有數(shù)字化資產(chǎn)的特權(quán)賬戶可見和可控。
特權(quán)訪問管理的挑戰(zhàn)
研究人員發(fā)現(xiàn),很多特權(quán)賬戶的使用者并不能充分了解對特權(quán)賬號的管理要求,往往為了簡化日常工作流程,而忽視了安全后果。企業(yè)在開展特權(quán)訪問管理時,會經(jīng)常面臨以下常見的挑戰(zhàn):
01
對特權(quán)賬戶的保護不足
保護特權(quán)賬戶包括很多方面的要求,由于企業(yè)的IT環(huán)境在不斷變化,特權(quán)賬戶的歸屬也在不斷變化。當發(fā)生人事變動,或者進行了系統(tǒng)應(yīng)用升級時,特權(quán)賬戶的使用情況也將發(fā)生變化,如果不能進行妥善處理,就會留下內(nèi)部賬戶權(quán)限過大、僵尸特權(quán)賬號等安全隱患。此外,密碼是保護特權(quán)賬戶不被非法使用的關(guān)鍵,有很多安全管理密碼的建議,比如使用復(fù)雜的密碼和定期更新密碼,但很少有人愿意去做。
02
特權(quán)賬號共享濫用
特權(quán)賬號應(yīng)該只授予那些為了完成工作而實際需要它們的人。但在實際工作中,特權(quán)賬戶卻常常被運維人員違規(guī)共享和濫用。有一種常見的情況是,一個團隊會共享一個特權(quán)賬戶來管理相關(guān)應(yīng)用程序、網(wǎng)站或云存儲服務(wù),因為創(chuàng)建多個特權(quán)賬戶需要經(jīng)歷多次審批流程。違規(guī)共享特權(quán)賬戶將會大大降低其應(yīng)用可見性,如果有多人使用同一個特權(quán)賬戶,將無法分辨到底誰做了什么。一旦發(fā)生了安全事件,也無法判斷該由誰來負責。
03
過度授權(quán)和使用特權(quán)賬號
當特權(quán)賬戶的使用頻率超過工作所需時,就會增加組織的安全隱患和脆弱性,因此需要對其進行合理授權(quán),持續(xù)監(jiān)管,并嚴禁用特權(quán)賬戶執(zhí)行日常性工作任務(wù)。但是,即便企業(yè)將此定為安全管理制度中的一項明確要求,特權(quán)用戶也往往會忽略或破壞它。
04
網(wǎng)絡(luò)安全意識缺乏
無論企業(yè)的網(wǎng)絡(luò)安全管理制度中制定了什么規(guī)則,都可能會有人不遵守這些規(guī)則。甚至很多員工會認為:我們沒有被攻擊的價值,因此不需要那么多的安全防護。然而,今天的網(wǎng)絡(luò)攻擊是無孔不入的。因此,企業(yè)應(yīng)該重視并加強網(wǎng)絡(luò)安全意識培訓,使包括特權(quán)用戶在內(nèi)的所有員工都養(yǎng)成遵守組織安全政策的工作習慣。
特權(quán)訪問管理的最佳實踐
日前,安全研究人員收集整理了有效進行特權(quán)訪問管理的10個最佳實踐,可以為企業(yè)組織后續(xù)開展PAM建設(shè)工作提供參考。
01
識別所有的特權(quán)賬戶
企業(yè)開展特權(quán)訪問管理的第一步就是要梳理和識別出組織究竟有多少特權(quán)賬戶。研究數(shù)據(jù)顯示,一個企業(yè)中的特權(quán)賬戶數(shù)量往往是普通賬戶數(shù)量的3-4倍。顯然,要充分掌握有哪些特權(quán)賬戶是一件非常復(fù)雜的工作。企業(yè)還需要定期對自己的所有賬戶資產(chǎn)進行系統(tǒng)整理,并且對和資產(chǎn)相關(guān)的所有權(quán)限進行整理與管理。
02
實施最小特權(quán)原則
最小特權(quán)原則(POLP)是任何身份和訪問管理(IAM)策略中的最佳實踐。執(zhí)行POLP意味著消除長期性的特權(quán)使用,特權(quán)賬戶并不可以被無限制地賦予不需要的管理權(quán)限,從特權(quán)賬戶建立開始,就需要對其進行合理的權(quán)限使用限制。在權(quán)限提升時,應(yīng)該有非常具體的理由才有望批準,還要有約束屬性,比如位置、設(shè)備和操作類型。
03
運用零信任安全模型
零信任安全模型與傳統(tǒng)觀念形成了對比。在零信任安全模型中,除非用戶和設(shè)備經(jīng)過檢查、通過身份驗證,否則被拒絕訪問資源。從長期看,PAM建設(shè)應(yīng)該有效融合到零信任建設(shè)的范疇中,無論是用戶、設(shè)備、應(yīng)用程序還是請求網(wǎng)絡(luò)訪問的API,在被有效驗證身份和真實性之前,拒絕其對資源的訪問將是默認選項。
04
實現(xiàn)全面的特權(quán)用戶監(jiān)控
企業(yè)的人員在不斷變化,因此需要根據(jù)人員與IT環(huán)境的變化追蹤每個特權(quán)用戶是否依然有必要保留之前的權(quán)限。針對賬戶的權(quán)限變化進行監(jiān)控,也能防止異常的特權(quán)賬戶使用行為。
組織應(yīng)該將管理賬戶與業(yè)務(wù)賬戶區(qū)分開,并將管理賬戶中的審計功能與讀取、編輯、寫入和執(zhí)行等系統(tǒng)功能分開來。只有確保每個特權(quán)賬戶只擁有執(zhí)行特定任務(wù)的特權(quán),并消除不同賬戶之間的重疊,才能真正建立起有效的特權(quán)訪問管理系統(tǒng)。當新的組件和資產(chǎn)被添加到網(wǎng)絡(luò)中時,實現(xiàn)自動化資產(chǎn)發(fā)現(xiàn)、所有權(quán)歸屬和訪問評估是非常有必要的,如果發(fā)現(xiàn)任何違規(guī)和異常行為,應(yīng)該立刻撤銷用戶的特權(quán)。
05
部署基于屬性的訪問控制
基于屬性的訪問控制(ABAC)可以確保組織用更可靠的方法來制定針對不同訪問對象的管控策略,從而確保它們受到安全的保護,遠離非法的用戶訪問。除了角色和資產(chǎn)外,ABAC還包括操作行為和環(huán)境,其中操作行為(讀取、寫入、復(fù)制和刪除)定義了用戶可以對訪問對象做什么,而環(huán)境則根據(jù)更廣泛的上下文,明確了相應(yīng)資源何時在何地被使用,包括設(shè)備本身和相關(guān)的支持協(xié)議。
06
持續(xù)監(jiān)測和警報
特權(quán)用戶監(jiān)控(PUM)不應(yīng)被視為一次性、階段性的工作。如果僅定期執(zhí)行用戶活動監(jiān)控,則無法確保用戶操作的完全可見性或正確保護關(guān)鍵數(shù)據(jù)。PUM是一個持續(xù)的過程,需要不斷改進。確保不斷改進特權(quán)用戶監(jiān)視和管理過程,并使用PUM最佳實踐和先進技術(shù)解決方案增強它們。此外,特權(quán)會話管理(PSM)也是一項必備的功能,便于管理員控制、監(jiān)測和記錄所有的特權(quán)使用會話,保證任何可疑活動被及時發(fā)現(xiàn)和消除。
07
加強對共享賬戶的管理
加強對共享賬戶的管理對于保障特權(quán)訪問安全至關(guān)重要。盡管共享特權(quán)賬戶很方便,但卻阻礙了用戶活動監(jiān)控和審計的過程,因為如果不使用特定的工具,很難區(qū)分用戶的行為。企業(yè)可以利用輔助用戶身份驗證措施,對需要共享賬戶的所有用戶進行身份區(qū)分,同時有效地審計和監(jiān)控他們的活動。
08
選擇合適的PAM技術(shù)方案
每家企業(yè)的IT環(huán)境都有所不同,因此企業(yè)需要根據(jù)自己的需求進行特權(quán)訪問管理技術(shù)手段應(yīng)用和部署。企業(yè)應(yīng)該和專業(yè)的PAM服務(wù)商合作,在企業(yè)特性應(yīng)用需求以及自身網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上,打造適合企業(yè)的PAM管理方案。由于大多數(shù)網(wǎng)絡(luò)安全解決方案僅支持種類有限的終端操作系統(tǒng)平臺,如何實現(xiàn)跨平臺的全面管理也是PAM建設(shè)中需要重點考慮的問題。
09
快速的應(yīng)用備份和恢復(fù)
企業(yè)要使用可靠的打碎玻璃(break-glass)方法,針對可能的攻擊事件恢復(fù)場景做好提前規(guī)劃和準備。一旦系統(tǒng)發(fā)現(xiàn)特權(quán)賬號存在異?;顒有袨椋湓L問會話應(yīng)該被自動關(guān)閉,從而防止威脅分子的進一步滲入和惡意利用。在特權(quán)濫用導(dǎo)致真實的攻擊事件發(fā)生后,企業(yè)應(yīng)該使用高可用性設(shè)計和高級災(zāi)難恢復(fù)流程(比如熱站點或冷站點,而不是簡單的本地備份和恢復(fù)),確保業(yè)務(wù)系統(tǒng)應(yīng)用的連續(xù)性和彈性。
10
開展網(wǎng)絡(luò)安全培訓
組織安全意識培訓對于有效監(jiān)控特權(quán)用戶非常重要。沒有適當?shù)木W(wǎng)絡(luò)安全知識的用戶可能不理解監(jiān)控它們的必要性,甚至可能試圖欺騙或破壞所實施的安全工具和策略。增強員工的網(wǎng)絡(luò)安全意識可以減少特權(quán)用戶的犯錯次數(shù),使他們更加注意賦予他們的特權(quán),并增加他們遵守公司建立的網(wǎng)絡(luò)安全程序的意愿。此外,當知道如何識別網(wǎng)絡(luò)安全威脅時,員工也更有可能注意到可疑活動并上報。