特權(quán)訪問管理 (PAM) 工具可提供一些重要的安全性和合規(guī)性優(yōu)勢，便于企業(yè)構(gòu)建業(yè)務(wù)案例。不過，這些優(yōu)勢利用起來可能會(huì)比較復(fù)雜，因?yàn)樗鼈兇蠖鄶?shù)都是無形的。換句話說，這些優(yōu)勢都是基于這一假設(shè)情景：一旦發(fā)生了安全泄露，會(huì)給組織帶來什么成本?根據(jù)組織所在的地區(qū)和行業(yè)，你可以計(jì)算出從數(shù)據(jù)泄露中恢復(fù)所需的成本。

[[278492]]

特權(quán)訪問管理通常被視為一種必要的 “惡魔”，即一種提升公司安全性和合規(guī)性所需的工具，但是卻幾乎無法帶來額外的價(jià)值。這種觀點(diǎn)其實(shí)是一種誤解。

特權(quán)訪問管理如何推動(dòng)企業(yè)提升投資回報(bào)?

除了無形的優(yōu)勢之外，特權(quán)訪問管理還能夠帶來一些可衡量的優(yōu)勢，這些可幫助判斷對(duì)特權(quán)訪問管理解決方案的投資是否合理。下面，我們將深入探討特權(quán)訪問管理技術(shù)為組織創(chuàng)造價(jià)值的多種方式，以及如何更好的向業(yè)務(wù)領(lǐng)導(dǎo)展示安全投資回報(bào) (ROSI)。

1. 口令保管

通常而言，口令是最薄弱的一環(huán)。如果沒有相應(yīng)的管理工具，而且在用戶之間共享，無疑它們很快就會(huì)失控。人們經(jīng)常會(huì)將口令寫下來，或?qū)⑵浯鎯?chǔ)在受保護(hù)的電子表格中。因?yàn)樗麄兒茈y與團(tuán)隊(duì)成員共享而且需要手動(dòng)操作，所以往往用戶并不會(huì)過于頻繁地更改口令。

在口令保險(xiǎn)庫中，憑證會(huì)存儲(chǔ)在由訪問控制策略控制且經(jīng)過加密的安全位置。這是降低密碼風(fēng)險(xiǎn)的第一步，但遠(yuǎn)遠(yuǎn)無法稱得上一個(gè)完整的解決方案。

2. 口令自動(dòng)化

即使將口令存儲(chǔ)在加密的保管庫中，而且采用了相應(yīng)的訪問策略和流程，它們?nèi)匀皇庆o態(tài)的。這意味著有些用戶還是可能將其記錄下來，或復(fù)制、存儲(chǔ)到其他位置。定期實(shí)施自動(dòng)的口令輪換有助于降低此項(xiàng)風(fēng)險(xiǎn)。

3. 非人類帳戶管理

組織傾向于重點(diǎn)關(guān)注人類用戶所用的帳戶和密碼，例如管理員、開發(fā)人員和外部員工所用的帳戶和密碼，這是因?yàn)槿祟愑脩魰?huì)犯錯(cuò)誤。人類用戶很容易遭受網(wǎng)絡(luò)釣魚和社會(huì)工程學(xué)攻擊，也可能會(huì)收受賄賂或遭受威脅，有時(shí)候也會(huì)對(duì)雇主不滿意。

不過組織經(jīng)常會(huì)忽略用于指定服務(wù)、應(yīng)用和機(jī)器間通信的帳戶。這主要是與更改它們的操作風(fēng)險(xiǎn)有關(guān)。在一個(gè)針對(duì)一些高權(quán)限帳戶的特定分析中，我們發(fā)現(xiàn)有大量的口令在十多年內(nèi)都沒有更改過。這背后的原因，公司表示，他們根本不知道更改口令會(huì)產(chǎn)生怎樣的后果，換言之，更改口令的操作風(fēng)險(xiǎn)太大。即便是他們了解了相關(guān)風(fēng)險(xiǎn)，他們依然不會(huì)更改這些口令。這些口令最終會(huì)被放入到一個(gè)保管庫中，但在此之前，它們都是存儲(chǔ)在安裝文檔中的某個(gè)地方，這是另一個(gè)非常重要的情況。

特權(quán)訪問管理解決方案則可以幫助管控這些帳戶，并定期輪換口令，同時(shí)確保不會(huì)造成服務(wù)中斷。攻擊者知道口令通常都是靜態(tài)的，這也是為什么密碼一直是他們攻擊目標(biāo)的原因。通常，受操作風(fēng)險(xiǎn)影響，這些憑證都不會(huì)被設(shè)置過期日期或登錄嘗試失敗限制，而這導(dǎo)致基礎(chǔ)設(shè)施非常脆弱。

4. 第三方訪問管理

許多公司通過托管安全服務(wù)的方式來維護(hù)防火墻、虛擬專用網(wǎng)絡(luò) (VPN)，甚至是整個(gè) IT 基礎(chǔ)設(shè)施。這些通常都要求網(wǎng)絡(luò)管理員授予外部各方對(duì) IT 基礎(chǔ)設(shè)施的訪問權(quán)限，而且通常都是高權(quán)限?，F(xiàn)在，你可以要求特定的安全措施和策略，但卻無法控制或監(jiān)控第三方的 IT 環(huán)境。如果服務(wù)提供商發(fā)生數(shù)據(jù)泄露，進(jìn)而產(chǎn)生連鎖，導(dǎo)致你的企業(yè)也發(fā)生數(shù)據(jù)泄露，你將如何?即使經(jīng)濟(jì)損失能夠獲得補(bǔ)償，但不利的輿論和聲譽(yù)仍舊無法挽回。

大多數(shù)特權(quán)訪問管理解決方案都會(huì)提供會(huì)話管理功能，該功能能夠?qū)⒌谌皆L問與網(wǎng)絡(luò)分開。你可以通過不需要口令的方式實(shí)施該功能;口令會(huì)在會(huì)話啟動(dòng)和登錄過程填入，第三方則永遠(yuǎn)不會(huì)看到口令。該方法可確保問責(zé)制，記錄活動(dòng)的詳細(xì)審計(jì)痕跡，同時(shí)允許安全團(tuán)隊(duì)在檢測到可疑行為時(shí)終止正在進(jìn)行的會(huì)話。

5. 會(huì)話管理

剛剛說到了第三方訪問，那么你可能要考慮對(duì)自己的員工采用類似的訪問限制。這種方式能夠使員工的生活變得更輕松，因?yàn)檫@樣他們就不需要記住、存儲(chǔ)和輸入這些口令。此外，從審計(jì)角度來看，你也能獲得更豐富的信息，特別是如果將會(huì)話記錄下來的話，以便可在隨后進(jìn)行重放。

6. 規(guī)避脆弱

可以通過口令輪換的方式，規(guī)避一些與系統(tǒng)相關(guān)的脆弱性。哈希傳遞攻擊 (Pass the Hash) 就是一個(gè)很好的例子。該漏洞能夠使攻擊者連接到之前曾登錄過受感染系統(tǒng)的其他系統(tǒng)。簡單更改口令就可防止此威脅。因?yàn)榭诹钜坏└?，哈希將不再正確。

7. 緊急訪問配備

有些情況下，某些用戶可能需要緊急訪問系統(tǒng);舉例來說，當(dāng)關(guān)鍵服務(wù)中斷時(shí)，或常規(guī)管理員不可用時(shí)，就需要緊急更改某些內(nèi)容，以恢復(fù)關(guān)鍵業(yè)務(wù)服務(wù)。在這些情況下，是沒有時(shí)間執(zhí)行審批流程的。

特權(quán)訪問管理解決方案可以針對(duì)相關(guān)方實(shí)施緊急訪問。舉例來說，你可以設(shè)置某些具有廣泛訪問權(quán)限的帳戶，但這些帳戶在使用時(shí)會(huì)觸發(fā)警報(bào)，以便從安全角度進(jìn)行跟進(jìn)。特權(quán)訪問管理工具的另一個(gè)優(yōu)勢就是審計(jì)痕跡。

8. 審計(jì)與合規(guī)

目前有很多法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐。一般來說，它們有一個(gè)共同點(diǎn)：它們都要求實(shí)施變更程序，記錄變更并證明變更過程符合相關(guān)程序。沒有人會(huì)強(qiáng)迫通過工具或軟件來做到這一點(diǎn)。雖然不切實(shí)際、容易出錯(cuò)且不夠完整，但你可以根據(jù)需要跟蹤書面程序上的變更。特權(quán)訪問管理能夠幫助實(shí)施程序、跟蹤變更并記錄報(bào)告的相關(guān)數(shù)據(jù)。

更多降低成本的方法

雖然上述內(nèi)容已經(jīng)幫助你實(shí)現(xiàn)并證明了積極的投資回報(bào)率，以下則是更多可以幫助你間接節(jié)省成本的具體方法。

1. 自動(dòng)口令輪換

盡管口令輪換一直以來都是安全領(lǐng)域的良好實(shí)踐之一，但它也可能需要滿足特定的法規(guī)、標(biāo)準(zhǔn)和最佳實(shí)踐。舉例來說，《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI DSS) 要求用戶每 90 天輪換一次口令，而美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 則規(guī)定：只有在懷疑存在數(shù)據(jù)泄露時(shí)，口令才應(yīng)過期。這兩種標(biāo)準(zhǔn)在口令的長度、復(fù)雜性等方面都有自己的具體要求。ISO 27001 也就口令的更新頻率、長度和復(fù)雜性給出了相應(yīng)的要求。英國通信電子安全組織 (CESG) 建議組織定期更改管理員口令，但目前他們并未強(qiáng)制執(zhí)行這一要求。無論遵循哪種標(biāo)準(zhǔn)，關(guān)鍵在于需求會(huì)隨著時(shí)間而變化，因此，組織需要適應(yīng)性地遵守標(biāo)準(zhǔn)。

即使從監(jiān)管或認(rèn)證的角度，你不需要遵守標(biāo)準(zhǔn)，也仍舊應(yīng)在使用后或定期更改高權(quán)限帳戶的口令。你可以通過手動(dòng)設(shè)置分離式密碼的方式實(shí)現(xiàn)這一點(diǎn)，而且最好由雙方共同完成。但是，即使你對(duì)管理員有信心，即使他們只需要一個(gè)人便可做到這些，也需要投入大量的時(shí)間和金錢。這是一個(gè)成本高且容易出錯(cuò)的過程，每次法規(guī)變更時(shí)，你都需要這樣做。

2. 提升工作效率

特權(quán)訪問管理在提升工作效率方面有著雙重的作用。自動(dòng)會(huì)話管理和登錄工具可以讓員工更快、更輕松地訪問系統(tǒng)和應(yīng)用，從而節(jié)省時(shí)間和精力、提升工作效率。對(duì)于混合環(huán)境而言尤其如此。

當(dāng)你針對(duì)外部各方使用會(huì)話時(shí)，他們就會(huì)知道他們將會(huì)被監(jiān)控。雖然這種監(jiān)控原本的目的在于提高安全性。通過監(jiān)控，你還可以了解到他們的工作效率，促使他們高效地執(zhí)行任務(wù)。

3. 減少管理員失誤

如果服務(wù)中斷一小時(shí)的話，你就會(huì)知道失誤的平均成本有多少。你還可能知道一年內(nèi)平均會(huì)發(fā)生多少次失誤。當(dāng)員工知道可以通過特權(quán)訪問管理方案對(duì)其進(jìn)行監(jiān)控時(shí)，他們可能就會(huì)更加意識(shí)到自己在做什么。如果可以將人為失誤率減少 10%，情況將會(huì)怎樣?

4. 數(shù)據(jù)泄露后的恢復(fù)

想象一下：你在發(fā)生了一次數(shù)據(jù)泄露后，必須將系統(tǒng)恢復(fù)到更早的日期。這時(shí)你需要知道該系統(tǒng)在該時(shí)間點(diǎn)所用的口令。特權(quán)訪問管理可以記錄口令歷史，在恢復(fù)過程中為你提供幫助。

如果發(fā)生數(shù)據(jù)泄露或可疑活動(dòng)，你可能需要立即重置多個(gè)帳戶的口令。如果已經(jīng)實(shí)施特權(quán)訪問管理方案和口令輪換，則只需啟動(dòng)一個(gè)任務(wù)即可實(shí)現(xiàn)這一點(diǎn)。輪換口令有助于制止或遏制正在發(fā)生的數(shù)據(jù)泄露。

5. 降低審計(jì)成本

特權(quán)訪問管理能夠跟蹤誰使用了哪些帳戶，這對(duì)于保證問責(zé)制非常重要，尤其是對(duì)于共享帳戶而言更是如此。舉例來說，你可以將帳戶設(shè)為獨(dú)占帳戶，如此一來，一次就只會(huì)有一個(gè)用戶訪問系統(tǒng)。通過將系統(tǒng)事件與當(dāng)時(shí)在該系統(tǒng)上處于活動(dòng)狀態(tài)的用戶相關(guān)聯(lián)，你的安全信息和事件管理 (SIEM) 流程將能夠獲得更多可視性并變得更有價(jià)值。

借助會(huì)話和記錄功能，你可以獲得更多詳細(xì)信息。不只是某個(gè)用戶做了什么，還可以看到他們所看到的內(nèi)容。舉例來說，如果某個(gè)用戶連接到了數(shù)據(jù)庫然后運(yùn)行查詢，你就可以看到他們所查看的查詢結(jié)果。

讓特權(quán)訪問管理成為安全戰(zhàn)略的核心

下次你需要提供審計(jì)信息時(shí)，切勿讓某個(gè)員工花費(fèi)數(shù)小時(shí)或數(shù)天的時(shí)間從各種系統(tǒng)中收集所有信息，然后對(duì)其進(jìn)行格式處理并撰寫報(bào)告。特權(quán)訪問管理可以幫助你完成這些工作，除了安全性和合規(guī)性方面的功能之外，它還可以提供管理高價(jià)值帳戶所需的功能，為你的員工提供支持，并向業(yè)務(wù)負(fù)責(zé)人保證他們的安全投資能夠得到所期望的回報(bào)。