建立特權(quán)賬戶管理依舊是全球企業(yè)關(guān)注的焦點。Gartner稱，到2018年，25%的企業(yè)都將審核特權(quán)活動并將數(shù)據(jù)泄露事件減少33%。特權(quán)賬戶管理(PAM)是最受企業(yè)歡迎的一個安全解決方案。

Gartner在一份報告中寫道：“2015年僅有少于5%的企業(yè)跟蹤、審查特權(quán)活動。其余的企業(yè)最多在特權(quán)活動發(fā)生時控制并記錄了時間，地點及人物，但它們并未關(guān)心真正發(fā)生了什么。除非企業(yè)跟蹤并審核特權(quán)活動，企業(yè)都將遭遇內(nèi)部威脅，惡意用戶或會導致重要中斷的錯誤的風險。”

[[163344]]

除了合規(guī)性和運營效率之外，漏洞和內(nèi)部攻擊的防范已成為特權(quán)賬戶管理(PAM)采用的重要驅(qū)動力。PAM是一套旨在幫助企業(yè)解決特權(quán)帳戶相關(guān)問題的技術(shù)。

Gaehtgens補充說：“IT企業(yè)在特權(quán)賬戶(如管理賬號，系統(tǒng)賬號或操作賬號)訪問控制方面承受著越來越多的業(yè)務及法律壓力。”

Gartner建議IT運營和安全領(lǐng)導采用一些效益和風險意識的特權(quán)訪問管理的一些最佳實踐方法。

1：列下所有特權(quán)訪問賬戶的清單并分配所有權(quán)

企業(yè)應該將IT環(huán)境中所有權(quán)限級別超越標準用戶的特權(quán)賬號列入清單中。經(jīng)常掃描IT基礎(chǔ)設(shè)施以發(fā)現(xiàn)擁有過量權(quán)限的新賬戶是企業(yè)安全的最佳做法。Gaehtgens說：“對于那些快速變化的動態(tài)環(huán)境(如大規(guī)模使用虛擬化技術(shù)或包含云基礎(chǔ)設(shè)施的混合IT環(huán)境)，這點更加重要。企業(yè)應該通過使用一些PAM供應商提供的免費自動搜索工具來自動發(fā)現(xiàn)IT設(shè)施內(nèi)未受管理的系統(tǒng)及賬號，但即使是這樣的自動搜索工具也無法發(fā)現(xiàn)所有的異常。”

2：不要共享共享的帳戶密碼

黃金規(guī)則是共享帳戶密碼不得隨便共享。即使在授權(quán)客戶之間，共享密碼也嚴重損害了個人利益;這是安全的最佳做法以及法規(guī)遵從性的要求。這樣更有可能會讓密碼泄露到其他人手上。

3：盡量減少個人及共享特權(quán)帳戶的數(shù)量

企業(yè)應該取消，至少是大幅度將超級用戶權(quán)限減少到和企業(yè)業(yè)務需求相一致的數(shù)量。遷移到共享特權(quán)帳戶是推薦的做法;然而，這需要適當?shù)墓ぞ?。如果沒有共享帳戶密碼管理工具，管理這樣的賬號引起的風險和控制風險是非常低效且復雜的。

4：建立共享帳戶使用管理的流程及控制方法

企業(yè)需建立共享賬號及其密碼管理的流程及控制方法。盡管企業(yè)可以采用人工方法管理特權(quán)訪問，但這實在太繁瑣了。沒有使用專用PAM工具根本無法實施這種做法。

IT運營和安全的領(lǐng)導者需要使用PAM工具來自動化這個流程，加強控制并提供個人問責制的審計跟蹤記錄。這些工具非常成熟(+微信關(guān)注網(wǎng)絡世界)，可以向超級用戶用一種強大，受控，負責任的方式提供一種高效和有效的密碼管理方法，它們可以讓企業(yè)滿足法律合規(guī)性對受限訪問和個人問責法的要求。

5：為常規(guī)(非特權(quán))訪問的用戶提供權(quán)限提升

通常，管理員也擁有在日常工作(如閱讀郵件，瀏覽網(wǎng)絡，訪問公司應用，創(chuàng)建并查看信息等)中使用的個人非特權(quán)賬號。Gaehtgens稱：“不要向這些賬號分配超級用戶權(quán)限，這樣可能會導致意外操作或會造成重大影響的惡意軟件。相反，企業(yè)應該提供權(quán)限提升來允許特權(quán)命令的臨時執(zhí)行。”