密碼是管理訪問的重要組成部分，但還有其他方面需要考慮。使用特權(quán)訪問管理 (PAM) 提供的全部范圍會(huì)有所幫助。很容易將注意力集中在網(wǎng)絡(luò)安全的閃光方面。但是，如果沒有正確管理憑證和訪問權(quán)限，企業(yè)就會(huì)面臨受到攻擊的風(fēng)險(xiǎn)。根據(jù)Verizon 數(shù)據(jù)泄露調(diào)查報(bào)告，絕大多數(shù)網(wǎng)絡(luò)安全問題 (80%) 與通常被盜或薄弱的憑據(jù)有關(guān)。

什么是 PAM?

PAM 是一種戰(zhàn)略方法，讓誰有權(quán)訪問網(wǎng)絡(luò)(包括基礎(chǔ)設(shè)施和應(yīng)用程序)，然后有目的地管理該訪問。大多數(shù)情況下，這涉及為用戶使用單點(diǎn)登錄，為管理員使用單點(diǎn)管理。

雖然訪問通常是指用戶，但 PAM 還涵蓋應(yīng)用程序和進(jìn)程。每一個(gè)都必須訪問網(wǎng)絡(luò)的不同區(qū)域和其他應(yīng)用程序才能執(zhí)行其功能。

術(shù)語 PAM 既指用于特權(quán)訪問管理的工具，也指進(jìn)程。購(gòu)買 PAM 解決方案是第一步。下一步：將 PAM 過程置于工具周圍。

通常，企業(yè)和機(jī)構(gòu)使用最小特權(quán)原則。這僅授予每個(gè)用戶、設(shè)備和應(yīng)用程序出于商業(yè)目的所需的最低限度的訪問權(quán)限。通過使用這種方法，他們限制了有權(quán)訪問特權(quán)區(qū)域的人，從而降低了風(fēng)險(xiǎn)。許多團(tuán)體將 PAM 與零信任結(jié)合起來。這意味著需要對(duì)每個(gè)訪問請(qǐng)求進(jìn)行驗(yàn)證并假設(shè)每個(gè)請(qǐng)求都是無效的。由于這兩種方法具有相似的原則，因此這些策略可以很好地協(xié)同工作。

特權(quán)訪問管理的好處

實(shí)施 PAM 的企業(yè)將獲得諸多好處，包括：

提高可見性——借助 PAM，可以實(shí)時(shí)了解誰訪問了每個(gè)網(wǎng)絡(luò)、服務(wù)器、應(yīng)用程序和設(shè)備——無需高風(fēng)險(xiǎn)或高維護(hù)的手動(dòng)電子表格。通過跟蹤會(huì)話時(shí)間，可以確保供應(yīng)商和承包商提供準(zhǔn)確的時(shí)間表。

可以看到誰在嘗試訪問未經(jīng)授權(quán)的區(qū)域，甚至可以設(shè)置警報(bào)，這可以為潛在的內(nèi)部攻擊提供線索。通過使用基于人工智能的 PAM 工具，還可以在用戶不遵循其典型行為時(shí)收到警報(bào)，以發(fā)現(xiàn)可能的憑據(jù)遭到破壞。

提高合規(guī)性——許多行業(yè)，如醫(yī)療保健和金融，必須保持對(duì)最低特權(quán)訪問的合規(guī)性，以遵守法規(guī)。通過使用特權(quán)訪問管理，可以降低審計(jì)風(fēng)險(xiǎn)并更輕松地證明合規(guī)性。

提高生產(chǎn)力——大多數(shù) PAM 工具使用自動(dòng)化來執(zhí)行以往手動(dòng)任務(wù)，例如密碼創(chuàng)建和密碼保管。這樣可以節(jié)省很多時(shí)間。

由于這些工具和結(jié)構(gòu)化流程減少了人為錯(cuò)誤，因此 IT 團(tuán)隊(duì)花費(fèi)更少的時(shí)間來糾正問題。此外，員工花更少的時(shí)間管理自己的密碼和訪問權(quán)限。

當(dāng)許多公司正在轉(zhuǎn)向混合工作時(shí)，這也有幫助。PAM 可防止從多個(gè)位置和設(shè)備登錄時(shí)出現(xiàn)訪問問題。

跨環(huán)境集成——網(wǎng)絡(luò)安全的一個(gè)常見問題是無意中創(chuàng)建了孤島，這會(huì)給流程增加新的問題。通過特權(quán)訪問管理，可以輕松地在整個(gè)團(tuán)隊(duì)中集成流程和工具。

通過選擇與系統(tǒng)集成的應(yīng)用程序，甚至可以使用單個(gè)儀表板進(jìn)行管理。然后，可以從單個(gè)工具創(chuàng)建詳細(xì)報(bào)告。

減少惡意軟件攻擊——攻擊者通常通過獲得對(duì)特權(quán)賬戶(例如管理員的賬戶)的訪問權(quán)限來發(fā)起惡意軟件攻擊。由于賬戶提供了廣泛的訪問權(quán)限，這樣做可以使有害代碼更快地傳播。

更安全地控制訪問并限制對(duì)業(yè)務(wù)的訪問意味著攻擊不會(huì)傳播那么多。

減少終止員工的攻擊——通常，前員工使用舊憑證來獲得訪問權(quán)限。這些很難被發(fā)現(xiàn)——而且通常是有害的。

PAM 提供了一個(gè)內(nèi)置流程，用于在員工離開公司時(shí)關(guān)閉訪問權(quán)限。如果確實(shí)發(fā)生了攻擊，特權(quán)訪問管理會(huì)立即提供對(duì)操作的洞察。這可以幫助訪問任何損壞并開始恢復(fù)。

通過使用 PAM 并花時(shí)間專注于基礎(chǔ)知識(shí)，可以降低風(fēng)險(xiǎn)，同時(shí)提高工作效率。

很多實(shí)踐策略，都是各有其優(yōu)缺點(diǎn)，我們此處根據(jù)IBM網(wǎng)站上的一種觀點(diǎn)，搬運(yùn)過來，供大家參考與思考。