保護特權賬號安全對于減少攻擊的影響至關重要。

[[255165]]

對于每一個黑客而言，一般都有如下的典型攻擊模式：收集攻擊對象信息、嗅探以及發(fā)現(xiàn)攻擊路徑、對目標進行攻擊并且獲取接入權限、給自己的接入賬號進行提權——當然，如果能直接獲取特權賬號就事半功倍了。因此，對于攻擊者而言，在最初的攻擊當中，目標都是獲取盡可能高權限的賬號，這樣就能在目標系統(tǒng)中不受限地進行各種操作，達成自己的目的。同時，安全專家也估計，在他們進行調(diào)查的嚴重網(wǎng)絡攻擊事件中有80%到“幾乎全部”都在攻擊過程的某個環(huán)節(jié)利用了特權賬戶。

典型的保護特權賬號安全的流程

可以發(fā)現(xiàn)，特權賬號的保護是不得不注意的一點。大部分企業(yè)對于信息的保護以及賬號保護的方案一般都基于以下幾點：

• 對不同敏感度的信息分類，并且進行不同深度的保護。
• 對不同權限的賬戶，能查閱、修改不同的信息。
• 對賬戶進行各種認證保護。

這些措施都是非常正確，并且是必須實行的。但是，我們需要意識到的是，如果特權賬戶無法獲得適當?shù)谋Ｗo，以上的保護可能都會被繞過，變得形同虛設。

然而，絕大部分企業(yè)對特權賬戶的保護有以下幾個很大的誤區(qū)與問題：

• 對特權賬戶保護不夠重視：正如之前說的一樣，保護特權賬戶并不完全包含在對數(shù)據(jù)的分類保護、對賬戶的登錄認證這些方面——盡管很多管理者那么認為。事實上，由于企業(yè)的IT環(huán)境在不斷變化，特權賬戶的歸屬本身也在不斷變化。當發(fā)生人事調(diào)動，以及使用了不同的系統(tǒng)時，特權賬戶的使用情況會發(fā)生變化，一旦不進行妥善處理，就會留下內(nèi)部人員賬戶權限過大以及僵尸特權賬號的問題，從而留下內(nèi)部以及外部的安全隱患。
• 特權賬戶只是針對人的：也會有管理者認為特權賬戶的管理只是針對人員的，因此，只要從規(guī)范上對人進行足夠的安全保護以及教育，就能做好特權賬戶的保護。事實上，特權賬戶的保護，除了與人相關，也與軟件相關：不同的軟件、應用、服務在相互之間交互的時候，也需要通過賬戶進行，因此對于企業(yè)在日常運營、開發(fā)過程中，也會產(chǎn)生各類特權賬號。
• 不知道自己有多少特權賬戶：基于以上兩點，大部分的企業(yè)很多時候?qū)μ貦噘~戶的管理是十分混亂的：他們不知道自己有哪些特權賬戶、這些特權賬戶都能做些什么、這些特權賬戶都在哪里。如今很多攻擊者往往有極高的耐心，他們會靜靜地潛伏在企業(yè)的系統(tǒng)，甚至直接潛伏在企業(yè)中數(shù)周到數(shù)月，發(fā)現(xiàn)以及等待對特權賬戶的攻擊機會——企業(yè)卻不知道自己到底有哪些特權賬戶，那有如何發(fā)現(xiàn)以及防護自己的企業(yè)呢?
• 我們不需要那么多的防御：很多中小企業(yè)會認為：自己的IT系統(tǒng)沒那么復雜、攻擊者更傾向于攻擊油水豐厚的大企業(yè)。結論則是，自己不需要那么多的安全防護。但是，攻擊者是無孔不入的;而且，他們尤其喜歡中小企業(yè)——雖然看上去獲得的利益沒有大型企業(yè)那么多，但是因為很多時候中小企業(yè)對自身缺乏足夠的安全防護，使得攻擊更容易達成。而我們也在開頭提到了，無論是從攻擊者角度，還是從安全專家角度來看，獲取特權賬戶是在攻擊流程中幾乎必然發(fā)生的一個環(huán)節(jié)。

我們該做什么?

特權賬戶的防御往往是保護數(shù)據(jù)泄露的最后一道防線。安全專家們給企業(yè)的特權賬戶管理提出了以下幾個建議：

• 了解自己有哪些特權賬戶：我們一直在強調(diào)：要保護一樣東西，首先要知道自己有多少這些東西，而他們又在哪里、以怎樣的形式存在著。企業(yè)對特權賬戶管理的第一步就是要知道自己有哪些特權賬戶：自己各個系統(tǒng)的root賬戶、自己的應用賬號、自己的各類憑證。有一個數(shù)據(jù)可能會出乎很多人的意料：一個企業(yè)的特權賬戶數(shù)量是普通賬戶數(shù)量的3到4倍。顯然，知道自己有哪些特權賬戶遠比管理自己的普通賬戶復雜。
• 監(jiān)控特權賬戶的變化：企業(yè)的人員在不斷變化，企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個特權賬戶是否依然有必要保留之前的權限。當發(fā)生環(huán)境變化時，不僅僅要給原有的賬戶根據(jù)其新角色加上新的權限，也要根據(jù)新的角色取消原有的權限。另一方面，針對賬戶的權限變化進行監(jiān)控，也能防止異常的賬戶權限變化——比如攻擊者將自身的賬戶進行提權進行進一步攻擊的行為。
• 限制特權賬戶的權限：安全需要遵守的原則之一是“最小權限原則”——即對人、系統(tǒng)給與的權限只需要滿足該實體需要執(zhí)行自己任務的最低的權限即可。因此，特權賬戶并不可以被無限制地延伸自己的權限，從特權賬戶建立的時間開始，就需要對其能進行的權限進行限制。
• 定期整理自己的資產(chǎn)與賬戶：即使有完善的管理，在整個執(zhí)行的過程中，依然難免會產(chǎn)生一些疏漏。因此，企業(yè)需要定期對自己的資產(chǎn)與賬戶進行整體的整理。再次強調(diào)，特權賬戶并不局限于對應人的賬號上，某些系統(tǒng)、應用本身也是帶有特權的實體——而他們也屬于企業(yè)的特權賬戶，也是企業(yè)的信息資產(chǎn)——而資產(chǎn)本身在企業(yè)的生產(chǎn)和運營過程中會不斷改變和增加，企業(yè)需要定期整理自己的信息資產(chǎn)，并且對自身的信息資產(chǎn)的權限進行整理與管理。
• 部署合適的防御方案：了解自己的特權賬戶是為了管理以及——防御。企業(yè)需要針對性地部署自己特權賬戶的安全方案。但是，每家企業(yè)的IT環(huán)境都會因為自身的業(yè)務有所不同，因此企業(yè)需要根據(jù)自己的需求進行特權賬戶進行防御的部署。這里并不是說企業(yè)需要完全進行個性化的安全解決方案，而是需要和專門的特權賬戶安全供應商合作，在企業(yè)特性需求以及網(wǎng)絡環(huán)境的基礎上，打造最適合企業(yè)的體系。

對特權賬戶使用高信任度認證方式：這是很顯然的行為，越高權限的賬戶需要越安全的認證方式。單純的賬號密碼組合是絕對不夠的，運用短信等多因子驗證已經(jīng)逐漸成為一種趨勢。

誰來提供解決方案?

要達成這些目標，顯然是不能完全使用人力進行，也不建議使用其他安全系統(tǒng)來作為替代品。最好的方式是用專門的PAM(Privileged Access Management，特權賬戶管理)工具進行管理——包括特權的給予、提升以及降權等行為。一款優(yōu)秀的PAM系統(tǒng)不僅僅能夠滿足以上對特權賬戶管理的需求，同時也能引導企業(yè)建立自身的特權賬戶管理方案。無論是大型企業(yè)，還是中小企業(yè)，都需要盡快規(guī)劃自己對特權賬戶管理的策略。如果對PAM工具以及廠商不是特別熟悉，下方是最新(2018年12月)Gartner的PAM魔力象限圖，可以從象限中參考適合自己的廠商。

在2018年6月Gartner曾經(jīng)提出2018年的十大網(wǎng)絡安全項目，其中特權賬號安全被列為第一項的安全重點項目。由此，Gartner在2018年底正式發(fā)布了“特權賬號安全領域”魔力象限評測。

從領導者的象限上來看，這四家廠商各有各的優(yōu)勢。CyberArk有相當?shù)募夹g積累以及歷史的公司，其在PAM上的產(chǎn)品線與功能相當全面;BeyondTrust則有能和資產(chǎn)與漏洞管理相結合，快速減少威脅面的能力;Centrify提供遠程第三方特權賬號解決方案，從而不需要再使用VPN;CA Technologies則擁有最好的PSM(Print Services Manager)以及對AWS的準時化特權過濾的支持。

但是，在選擇的時候，我們也需要意識到，PAM如今的主要市場在北美和歐洲。比如在Gartner的魔力象限中就提到，Centrify的主要支持都在北美，因此如果主要使用地區(qū)在國內(nèi)，Centrify可能無法提供最有效的支持。當然，也有廠商在開拓亞洲市場，比如CyberArk就在幫助國內(nèi)企業(yè)，打造適合他們的特權賬戶安全解決方案。企業(yè)在選擇廠商的時候也需要考慮自己部署的地理位置以及能否獲得最直接的技術支持。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文