完美特權訪問管理的七個基本功能
責編:gltian |2019-09-16 17:24:02因能訪問公司最寶貴的信息,特權賬戶往往成為攻擊者競相追逐的目標。公司企業必須安全有效地管理特權訪問。
很多合規規定都對特權用戶管理提出了強安全控制建議。為符合這些要求,預防災難性數據泄露發生,公司企業在日常安全操作中實現了各種各樣的特權訪問管理 (PAM)。但如何選擇合適的 PAM 解決方案?需要找尋哪些功能呢?
Gartner 《2019 特權訪問管理最佳實踐》提出,良好 PAM 解決方案應建立在四大基礎之上:
- 提供所有特權賬戶的完整可見性
- 治理和控制特權訪問
- 監視和審計特權活動
- 自動化和集成 PAM 工具
本文根據這四大基礎列出 PAM 最重要的功能,幫助公司企業保護敏感數據特權訪問。
1. 持續發現特權賬戶
你無法保護看不到的東西。所以,發現網絡中每一個特權賬戶是必備功能。PAM 解決方案應能發現人類用戶和應用所用的各種特權賬戶。
只要擁有了網絡中所有特權賬戶的完整可見性,就可以輕易擺脫不必要的管理員賬戶,指定哪個賬戶,或者哪個特定用戶,可以訪問哪些關鍵資產。還可以更進一步,通過刪除所有默認管理員賬戶來夯實系統安全,實現最小權限原則或零信任安全方法。
實現這些功能的最大挑戰,是保持特權賬戶相關數據更新。只要提權出了任何差錯,公司網絡安全就陷于嚴重風險之中了。
2. 多因子身份驗證
多因子身份驗證 (MFA) 功能是確保只有正確的人能夠訪問關鍵數據的必要方法。這種方法還可以緩解惡意內部人 “借用” 同事密碼的風險,防止內部人威脅。
大多數 MFA 工具都提供兩種驗證因子的組合:
- 所知(用戶憑證)
- 持有(生物特征、發送到用戶經驗證移動設備上的一次性密碼等)
實現該功能的主要挑戰之一,是定義哪些終端和資產需要受到最嚴格的保護。為避免給員工造成太大麻煩,應只在必要的時間和位置實現 MFA 功能。
3. 會話管理
很多安全供應商將特權訪問與會話管理 (PASM),作為單獨的解決方案,或 PAM 軟件的一部分提供。監視和記錄特權會話的功能,為安全專家審計特權活動和調查網絡安全事件,提供了所需的全部信息。
實現該功能的主要挑戰,是將每一個記錄下的會話與特定用戶關聯起來。在很多公司里,員工都會使用共享賬戶訪問各種各樣的系統和應用。如果他們使用相同的憑證,不同用戶發起的會話,就會被關聯到同一個共享賬戶上。
為解決該問題,PAM 應能為共享賬戶和默認賬戶提供次級身份驗證功能。如此一來,如果用戶以共享賬戶登錄系統,還需額外提供個人憑證,以便確認該特定會話是由該特定用戶發起的。
4. 一次性密碼
確保只有正確的用戶能夠獲得關鍵資產訪問授權的另一方式,是部署一次性密碼功能。該功能最適用于授予第三方承包商訪問公司重要信息資產的適時 (JIT) 訪問權。
一次性密碼的有效期很短,而且不能重復使用,所以能夠降低數據泄露的風險。
5. 用戶及實體行為分析 (UEBA)
用戶及實體行為分析 (UEBA) 工具有助于早期警示特權賬戶被盜的事實。UEBA 工具分析其他 PAM 工具記錄下的數據,包括會話記錄和日志,識別常規用戶行為模式。如果特定用戶或實體的行為開始偏離其典型模式,系統就會將之標為可疑。UEBA 工具旨在幫助補全其他安全工具的遺漏,盡早檢測入侵。
目前,市場提供大量 UEBA 工具,既有獨立的 UEBA 解決方案,也有嵌入 UEBA 功能的安全解決方案。想要恰當管理特權訪問,PAM 或安全信息與事件管理 (SIEM) 解決方案最好包含 UEBA 功能。
6. 實時通知
越早阻止攻擊,攻擊造成的影響就越小。但若想能夠及時響應潛在安全事件,你收到警報通知的時機應是近實時的。所以,選擇特權訪問管理解決方案的時候,一定要查看其是否具有良好的警報系統。
大多數 PAM 解決方案都提供一套標準規則和警報。比如說,每次系統記錄到特權賬戶登錄嘗試失敗,安全負責人就會收到通知。或者更進一步,為特定事件、活動,乃至用戶組創建自定義警報。
7. 詳盡報告與審計
PAM 工具通常會收集大量數據:活動日志、鍵盤記錄、事件日志、會話記錄等等。但若無法從中產生詳盡的報告,PAM 解決方案收集再多的有用數據都是徒勞。因此,需具備根據自身特定需求產生不同類型報告的能力。
要特別注意可收入報告中的數據和信息的類型。比如說,如果形成的報告能夠包含特權賬戶執行的全部活動,或者納入非正常上班時間發起的所有特權會話,安全保護效果會好很多。
某些情況下,取證分析需調查安全事件,或者評估當前安全系統的狀態。因此,所選特權訪問管理解決方案最好具備取證導出功能。
若能將 PAM 解決方案與當前 SIEM 集成,也是一個加分項。這樣可以最大限度地利用 PAM 工具收集的數據,以更有效的方式分析潛在威脅。
結語
特權訪問濫用可導致災難性后果,使攻擊者得以輕松收集到最有價值、最重要的信息。大多數合規監管也要求特權訪問得到妥善保護與管理,盡管有時候這種要求是間接的。所以,部署優良的 PAM 解決方案,是每一家現代企業的必備步驟。
希望本文描述的指標能夠助您盡快找到最佳特權訪問管理解決方案。
Gartner 《2019 特權訪問管理最佳實踐》: