特權(quán)訪問(wèn)管理 (PAM) 由策略和技術(shù)組成，這些策略和技術(shù)用于對(duì) IT 環(huán)境中經(jīng)提升的用戶、賬戶、進(jìn)程和系統(tǒng)訪問(wèn)及權(quán)限(“特權(quán)”)施加控制。通過(guò)實(shí)現(xiàn)恰當(dāng)?shù)奶貦?quán)訪問(wèn)控制級(jí)別，PAM 幫助公司企業(yè)壓縮其攻擊界面，防止或者至少緩解來(lái)自外部攻擊和內(nèi)部人作惡或疏忽導(dǎo)致的破壞。

[[282566]]

雖然特權(quán)管理包含多個(gè)策略，其核心目標(biāo)卻是實(shí)現(xiàn)最小權(quán)限，也就是將用戶、賬戶、應(yīng)用、系統(tǒng)、設(shè)備(如物聯(lián)網(wǎng)設(shè)備)和計(jì)算過(guò)程的訪問(wèn)權(quán)限限制到僅供執(zhí)行常規(guī)例程和授權(quán)行為所必需的最低限度。

PAM 極大改變了企業(yè)保護(hù)關(guān)鍵系統(tǒng)訪問(wèn)的方式。通過(guò)使用憑證保管庫(kù)和其他會(huì)話控制工具，PAM 使管理人員能夠在大幅降低泄露風(fēng)險(xiǎn)的情況下維護(hù)特權(quán)身份。而通過(guò)將特權(quán)憑證集中到同一個(gè)地方，PAM 系統(tǒng)可確保憑證的高安全等級(jí)，控制誰(shuí)能訪問(wèn)憑證，記錄所有訪問(wèn)并監(jiān)視任何可疑活動(dòng)。

行業(yè)領(lǐng)袖佛瑞斯特研究所 (Forester) 和 Gartner 公司均將特權(quán)管理列為 CISO 首要關(guān)注重點(diǎn)。他們做出這一判斷毫不令人意外。PAM 保護(hù)公司特有的數(shù)字身份，這些身份若被盜，整個(gè)公司可能陷入完全停轉(zhuǎn)狀態(tài)。

特權(quán)憑證是極具吸引力的目標(biāo)

正是特權(quán)賬戶存在本身引發(fā)了諸多事端。如果單個(gè)數(shù)字身份可賦予此類不受限制的訪問(wèn)，該身份暴露的后果就可能是災(zāi)難性的。黑客十分了解這一事實(shí)，所以超級(jí)用戶是他們的主要目標(biāo)。

因具有較高權(quán)限，可訪問(wèn)憑證信息，可更改設(shè)置，特權(quán)用戶賬戶成了黑客重要的攻擊目標(biāo)。一旦被盜，公司運(yùn)營(yíng)有可能受到影響。實(shí)現(xiàn) PAM 的賬戶類型可包括應(yīng)急網(wǎng)絡(luò)安全程序、本地管理員、微軟活動(dòng)目錄 (AD) 、應(yīng)用或服務(wù)，以及域管理員賬戶。

過(guò)去幾年的攻擊事件來(lái)看，攻擊者不再 “黑” 進(jìn)公司以尋求數(shù)據(jù)泄露;他們利用弱憑證、被盜憑證或被泄憑證。一旦進(jìn)入企業(yè)網(wǎng)絡(luò)，他們會(huì)在網(wǎng)絡(luò)上擴(kuò)散和橫向移動(dòng)，搜尋可幫他們獲得企業(yè)關(guān)鍵基礎(chǔ)設(shè)施及敏感數(shù)據(jù)的特權(quán)賬戶與憑證。

74% 的數(shù)據(jù)泄露涉及特權(quán)憑證濫用

佛瑞斯特研究所估計(jì)，盡管網(wǎng)絡(luò)安全預(yù)算不斷增長(zhǎng)，80% 的安全事件涉及特權(quán)訪問(wèn)濫用，66% 的公司企業(yè)平均被入侵 5 次或更多次。一份新的調(diào)查支持佛瑞斯特研究所的估測(cè)，發(fā)現(xiàn)遭遇數(shù)據(jù)泄露的公司中 74% 承認(rèn)涉及特權(quán)賬戶訪問(wèn)。

更令人擔(dān)憂的是，該調(diào)查研究發(fā)現(xiàn)，大多數(shù)公司企業(yè)仍在授出太多信任與權(quán)限，并未重視 PAM 也未有效實(shí)現(xiàn) PAM。從業(yè)者應(yīng)將 PAM 等關(guān)鍵基礎(chǔ)安全控制視為數(shù)字轉(zhuǎn)型驅(qū)動(dòng)器。然而，公司企業(yè)并未采取最基本的措施來(lái)保護(hù)特權(quán)憑證。

• 超半數(shù)受訪者 (52%) 根本沒(méi)有密碼保管庫(kù)。
• 65% 至少經(jīng)常共享系統(tǒng)和數(shù)據(jù)的 root 賬戶或特權(quán)訪問(wèn)。
• 超過(guò) 1/5 (21%) 的受訪者仍未部署特權(quán)管理訪問(wèn)權(quán)限的多因子身份驗(yàn)證。

除了沒(méi)實(shí)現(xiàn)基本 PAM 解決方案，很多公司企業(yè)還沒(méi)實(shí)施可減少風(fēng)險(xiǎn)的基本策略和過(guò)程。比如說(shuō)，63% 的受訪者指出，其公司撤銷離職人員的特權(quán)訪問(wèn)通常需要一天以上的時(shí)間，期間公司暴露在暗網(wǎng)售賣特權(quán)訪問(wèn)憑證等報(bào)復(fù)性利用的風(fēng)險(xiǎn)之下。

數(shù)字轉(zhuǎn)型改變了企業(yè)業(yè)務(wù)運(yùn)營(yíng)的方式，創(chuàng)建了無(wú)邊界環(huán)境，特權(quán)訪問(wèn)不再適用于網(wǎng)絡(luò)內(nèi)系統(tǒng)和資源。特權(quán)訪問(wèn)應(yīng)覆蓋基礎(chǔ)設(shè)施、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備、云環(huán)境、大數(shù)據(jù)項(xiàng)目、DevOps 和容器或微服務(wù)。此外，高級(jí)持續(xù)性威脅 (APT) 為企業(yè)的金融資產(chǎn)、知識(shí)產(chǎn)權(quán)和聲譽(yù)帶來(lái)了持續(xù)增加且不斷變化的風(fēng)險(xiǎn)。

調(diào)查發(fā)現(xiàn)，受訪者并未給予此新風(fēng)險(xiǎn)態(tài)勢(shì)應(yīng)有的重視，僅在有限的現(xiàn)代用例上控制了特權(quán)訪問(wèn)。

• 45% 的受訪者未以特權(quán)訪問(wèn)控制措施保護(hù)公共和私有云工作負(fù)載。
• 58% 未以特權(quán)訪問(wèn)控制保護(hù)大數(shù)據(jù)項(xiàng)目。
• 68% 未以特權(quán)訪問(wèn)控制保護(hù)集線器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備。
• 72% 未以特權(quán)訪問(wèn)控制保護(hù)容器。

特權(quán)訪問(wèn)的另一個(gè)問(wèn)題是，很多應(yīng)用并未預(yù)留 PAM 解決方案集成接口——即便 Gartner 《2018 PAM 魔力象限》報(bào)告顯示，采用規(guī)范變更管理過(guò)程的公司企業(yè)中 40% 計(jì)劃在 2020 年嵌入或集成 PAM 工具以減小其風(fēng)險(xiǎn)界面。

• 佛瑞斯特研究公司的身份與權(quán)限管理報(bào)告：https://www.forrester.com/report/Making+The+Business+Case+For+Identity+And+Access+Management/-/E-RES80481
• Gartner PAM 項(xiàng)目：https://solutionsreview.com/identity-management/why-pam-is-gartners-top-it-security-project-for-2019/
• Centrify 調(diào)查：https://www.centrify.com/resources/centrify-privileged-access-management-in-the-modern-threatscape-2019/
• Gartner 《2018 PAM 魔力象限》報(bào)告：https://www.gartner.com/en/documents/3894154

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文