特权访问管理(PAM)是指一组IT安全管理原则,用于帮助企业隔离、治理有关特权的访问,控制授予谁访问哪些终端,以及以何种级别的权限访问,并监控授权用户使用该访问权限执行的操作。
特权访问管理
从广义上讲,特权访问是一种授予访问者特殊权限以访问到IT系统的行为,具有特权访问权限的用户可以执行标准用户所不能执行的操作。常见的特权操作如:修改服务器设置、访问业务数据系统、安装新程序、运行关键服务、添加用户配置文件、进行维护活动或更改网络配置。企业IT团队在很大程度上依赖于关键用户帐户(称为特权帐户),对用户授权网络中信息数据或资源的访问权限。
虽然特权帐户仍然是当前IT场景中特权访问的首选,但也存在其它诸如生物识别身份验证和智能卡等方式。在一些特定场景下,企业或组织希望对物理服务器、工作站、数据中心设备或任何包含敏感信息的系统进行全访问的保护,包括禁止直接访问这些设备。在这种情况下,对机器的直接物理访问也意味着用户具有这种特权访问的资格。
一:谁是特权用户?
具有一个或多个特权帐户或通过任何其他模式,被授权对部分或整个IT基础设施网络进行高级访问的用户称为特权用户。与我们紧密相关的特权用户包括系统管理员、网络架构师和管理员、数据库的管理员、业务应用程序的管理员、DevOps工程师和其他IT主管等IT工作者。有时,帮助公司进行IT运营或联络业务需求和维护的第三方服务商也可以从访问企业或机构的内部网络,他们也是我们所认定的特权用户。通常,特权用户是一种特定类型的企业IT用户,IT用户也包括标准用户和高级用户:
标准用户:即企业环境中的普通用户,他们的帐户用于每天访问业务应用程序以执行常规的业务操作。标准用户通常无法访问任何敏感信息或系统。
高级用户:与标准用户相比,高级用户有一些额外的权限。一个常见的例子是帮助最终用户维护PC的内部IT人员。这样的用户会得到一个提升了特定访问权限的边际帐户,允许他们执行如远程访问本地工作站和数据库等的操作,因此他们可以被称为高级用户。
特权用户:这些是企业中最重要的用户,特权用户的数量通常是有限的。他们对IT环境的风险最高,需要全天候关注。
特权访问管理是通过安全地共享特定的特权帐户到特定的用户,将其工作所需的最小特权访问权进行授予的过程。它还涉及到对特权用户的持续监控,以确保其不会滥用所获得的特权。此外,对特权的授予也应定期检查,确保在用户的角色发生变化时,收回其所不需要的特权。
二:为什么特权访问管理对企业很重要?
获得关键信息系统的特权是网络攻击的主要目标,一个特权用户帐户落入不法之徒手中,对于企业而言将是致命的。不受控的特权是当今企业的无声威胁。事实上,泰雷兹数据威胁报告就将特权访问列入其最大的数据安全威胁列表。此外,Verizon 2019年的一份报告指出滥用特权访问是各行各业大多数安全事件和数据泄露的根源。此外,它也是最难发现的攻击行为之一,一些由特权滥用导致的漏洞实际上可能在数月或更长时间内都不会被发现。
三:特权访问和用户帐户管理不善会使企业面临以下风险:
1. 黑客利用不知情的员工:
特权用户帐户是攻击者的最爱,利用特权账号在网络中实施数据窃取,往往让管理者很难或及时发现。黑客通常利用网络钓鱼、欺骗网站和其他策略欺诈用户,窃取他们的信息,从而让攻击者绕过公司的安全措施,获得内部网络访问权限。
2. 内部人员的特权滥用:
令人意想不到的是,最大的威胁来自机构内部。出于个人利益,内部的特权用户所造成的损害可能会比外部威胁更大。对内部人员固有信任使他们能够利用现有的特权,盗取各种敏感数据,将其出售而不被注意到,直到一切为时已晚。Verizon 2019年内部威胁报告指出,在该公司之前的五份数据泄露调查报告(2014-2018年)中,只有4%内部人员特权滥用漏洞被发现。
3. 来自员工的过失行为:
没有适当的特权访问管理措施,对于缺乏安全敏感性的员工,将是一个难以管理的威胁。例如随意记录、放置关键的用户凭据,让黑客找到,或是与权限级别不符的员工分享特权。一个典型的例子是DevOps工程师将他们的代码(尤其包含内部服务器、应用的身份令牌)上传到GitHub这样的开放平台上,而忽略代码的维护。
4. 来自供应商和前雇员的特权滥用:
企业的供应商是也是企业广泛业务网络的组成部分之一,这包括承建商、顾问、合作伙伴、第三方维护团队和服务提供商,他们也需要对您的内部基础设施进行特权访问,以满足各种业务需求。这也意味着此类第三方也能够以特权身份进入企业的内部网络,与内部人员构成的威胁一致。另一种威胁形式是心怀不满或别有他图的前雇员,虽然其可能已经离开企业,但所拥有的特权若未被及时收回,他们依然可以利用它进行非法访问,窃取数据,并将其出售给黑客。
5. 超过必要的权限:
通常情况下,用户会获得完全特权,也就是说,他们拥有的访问权限远远超过了他们履行工作职责所需的权限。也就是在获得的特权与所需的特权之间出现了差距,在这种情况下,重要的是应用最小特权原则–即仅提供完成工作任务所需的最低权限。如果没有适当的特权访问管理系统来实施最低特权安全性和监督用户的操作,这种权限可能引发滥用。
6. 特权一旦授予,则永远不会取消!
特权被遗忘是危险的,管理者在授予用户特权访问后,忘记回收,会造成潜在风险。没有一个工具来跟踪谁被赋予了什么特权,撤回权限可能是一个繁琐的任务。这意味着即使用户的工作完成了,他们仍然拥有特权,并且有机会执行未经授权的操作。在这种情况下,特权访问管理工具可以帮助IT经理为预设的用户划定完成任务所需的时间,规定的时间到了,则利用工具自动撤销有关权限。
7. 在调查取证时,缺乏记录追踪:
这可能算不上威胁,但是可视作一种巨大的劣势。如果出现特权事故,没有全面的特权活动日志和明确的证据来提供相关事件的背景信息,将造成取证失败,进而破坏您在客户中建立的信任和品牌声誉。
特权访问,需要强大的控制和持续监控进行完全管理,否则它可能致使您的机构面临数据风险过度曝光导致业务中断、诉讼、调查成本和声誉受损。正如Gartner所说,特权访问管理应该是您最重要的长期安全项目之一,以消除网络安全态势中的薄弱环节,并成功化解新出现的特权访问风险。
四:在您的特权访问管理程序中引入常见的最佳实践
特权访问管理最佳实践可以分为三个阶段,即对特定系统提供特权访问之前、期间和之后。
五:授权特权访问之前应遵循的安全最佳实践
在授予用户特权之前,特权访问的管理往往从评估企业内部的网络、虚拟平台以及云上的关键资源开始。然后是锁定这些资源上的特权账户,以及SSH密钥(或任何能够提升用户权限级别的验证实体,例如智能卡),并将这些资源及账户整合到一个安全的中央保险库中。然后实行多层加密保护措施,如AES-256或RSA4096,对所有数据进行加密保护。其它的措施还有:
- 通过与企业内部用户身份数据库进行交叉对比,在审批之前户验证其对保险库访问的请求原由,确认用户的请求确实需要特权权限。
- 对保险库的访问设置多层强身份验证,如一次性密码(OTP)、双因素身份验证(2FA)和单点登录(SSO)。
- 允许用户仅在IT经理或IT管理员批准的情况下签出特权帐户或其他凭据。
- 对签出的凭据施加基于时间的访问限制,这样可以在特定时间段后自动撤销所授予的权限。
- 审计所有对凭证的申请访问。
六:授权特权访问时应遵循的安全最佳实践
- 其次,在为用户授予特权时遵循最小特权原则,确保经过身份验证的用户,仅获得任务所需的最小权限。通常意味着实施以下措施:通过网关服务器以及加密通道建立特权会话,避免用户从其个人设备直接连接到目标信息系统。为进一步增强安全性,可要求用户登录到特权访问管理平台,通过单点建立与目标信息系统的连接,以避免向用户公开特权凭证。
- 使用临时证书对特权会话进行身份验证和授权。该证书仅在特权访问期间提供,用户不必在连接时输入凭据,在会话完成之后自动注销此证书。
- 提供有限的特权,如在RDP会话期间,限定于应用程序的访问权限或在SSH终端会话中仅允许某些命令运行。
- 加强即时(JIT)提权控制。仅在需要时提升员工的权限有助于防止累积未使用或不需要的访问权限,从而降低风险。JIT控制使用户能够以自己的身份登录,而不是依赖于共享的特权帐户,这大大提高了责任感。这种方法也称为特权提升和委托管理。对于理想的JIT最小特权模型,您可以设置一个特权访问管理系统,与您的内部身份治理工具接口结合,使基于角色的控件的实现更加容易。
- 记录所有特权会话,并将其存档为视频文件。同时监视正在进行的会话(手动或自动),以实时识别异常,如恶意命令。
七:授权特权访问后应遵循的安全最佳实践
在这个阶段最重要的事情是,在用户的任务完成之后,撤回用户所获得的权限。权限的撤回意味着有关的特权账户或SSH密钥将被自动回收,此时可采用严格的策略重置,以防止任何未经授权的特权滥用。加强安全的其他举措还有:
- 作为特权访问管理程序的一部分,必须实现全面的特权用户活动日志审计,即时捕获有关特权帐户操作、用户登录尝试、工作流配置和任务完成等的所有事件,以及时间戳和IP地址。将您的特权访问审核平台与您的本地事件日志服务平台集成,增进终端与特权访问数据协作。为您的IT团队提供整合的仪表板,将特权访问行为与整体系统操作相映射,提高特权用户监控的可见性,同时结合终端日志为您提供更多的上下文,在响应网络内的安全事件时促进决策。
- 结合人工智能(AI)和机器学习(ML)驱动的异常检测,识别来自非正常行为的威胁。一个有效的特权访问管理工具应该帮助发现隐藏的威胁,甚至在它们形成之前。为实现更主动的姿态,您可将特权访问平台与行为分析平台进行整合。为您的网络中的特权操作建立基线行为,然后利用新时代的人工智能和机器学习技术为每个用户操作进行风险评分。例如根据位置、时间或角色选择离群值,并使用它们来计算加权风险得分。当一个操作的风险评分高于正常值时,自动向IT管理员发出警报,帮助及时阻断任何潜在的风险。
- 利用混合分析来获得影响业务的风险洞察。将审计日志集成到智能分析平台进行研究,根据所见事实提供见解。同样,特权访问审计和报告与业务服务关联时,它们可以提供更好的见解。例如,将特权访问管理工具中提出的特权访问请求映射到服务台中的网络问题或事件,可以更全面地了解您的环境中正在发生的事,从而实现有意义的推断和更快的补救措施。
八:强大的特权访问管理程序的优势?
特权访问的生命周期管理一般包括安全集中存储特权实体、细粒度访问控制、审批工作流、持续监督、特权流转、定期审验分配的权限以及执行行为分析等。正确的生存周期管理可以阻止风险,并收获:
九:中心化特权控制
随着企业基础设施建设的不断扩大,在宏观层面实施战略控制变得重要。特权访问管理可以帮助建立对高价值资产的完整权限控制,以及严格的访问策略。
十:理清责任
特权访问受到管理者的审核与查证,建立用户与特权访问清晰的关联,追踪特权访问过程的操作记录,将共享账户的特权操作清晰关联到具体执行人。
十一:最大可见性
通过以时间线为记录记录日志,防止日常工作中特权账户的随意使用。为事件响应和控制团队构建可信信息库,帮助减轻内部威胁和特权访问的随意使用。
十二:满足合规性审计
证明符合GDPR、NIST、FISMA、HIPAA、SOX PCI DSS、NERCCIP、ISO/IEC27001、CCPA和其他法规的特权访问控制标准。随时生成合规性审核报告。
十三:维护品牌声誉
采取积极主动的安全姿态,提高针对网络攻击的恢复能力,维护企业声誉,在客户中建立信心,减少对业务以及财务的影响。
特权账号管理,特权访问安全,身份认证 – ManageEngine PAM360
