為什么 CISO 必須重視 PAM
責編:gltian |2019-11-15 13:46:52特權訪問管理 (PAM) 由策略和技術組成,這些策略和技術用于對 IT 環境中經提升的用戶、賬戶、進程和系統訪問及權限(“特權”)施加控制。通過實現恰當的特權訪問控制級別,PAM 幫助公司企業壓縮其攻擊界面,防止或者至少緩解來自外部攻擊和內部人作惡或疏忽導致的破壞。
雖然特權管理包含多個策略,其核心目標卻是實現最小權限,也就是將用戶、賬戶、應用、系統、設備(如物聯網設備)和計算過程的訪問權限限制到僅供執行常規例程和授權行為所必需的最低限度。
PAM 極大改變了企業保護關鍵系統訪問的方式。通過使用憑證保管庫和其他會話控制工具,PAM 使管理人員能夠在大幅降低泄露風險的情況下維護特權身份。而通過將特權憑證集中到同一個地方,PAM 系統可確保憑證的高安全等級,控制誰能訪問憑證,記錄所有訪問并監視任何可疑活動。
行業領袖佛瑞斯特研究所 (Forester) 和 Gartner 公司均將特權管理列為 CISO 首要關注重點。他們做出這一判斷毫不令人意外。PAM 保護公司特有的數字身份,這些身份若被盜,整個公司可能陷入完全停轉狀態。
特權憑證是極具吸引力的目標
正是特權賬戶存在本身引發了諸多事端。如果單個數字身份可賦予此類不受限制的訪問,該身份暴露的后果就可能是災難性的。黑客十分了解這一事實,所以超級用戶是他們的主要目標。
因具有較高權限,可訪問憑證信息,可更改設置,特權用戶賬戶成了黑客重要的攻擊目標。一旦被盜,公司運營有可能受到影響。實現 PAM 的賬戶類型可包括應急網絡安全程序、本地管理員、微軟活動目錄 (AD) 、應用或服務,以及域管理員賬戶。
過去幾年的攻擊事件來看,攻擊者不再 “黑” 進公司以尋求數據泄露;他們利用弱憑證、被盜憑證或被泄憑證。一旦進入企業網絡,他們會在網絡上擴散和橫向移動,搜尋可幫他們獲得企業關鍵基礎設施及敏感數據的特權賬戶與憑證。
74% 的數據泄露涉及特權憑證濫用
佛瑞斯特研究所估計,盡管網絡安全預算不斷增長,80% 的安全事件涉及特權訪問濫用,66% 的公司企業平均被入侵 5 次或更多次。一份新的調查支持佛瑞斯特研究所的估測,發現遭遇數據泄露的公司中 74% 承認涉及特權賬戶訪問。
更令人擔憂的是,該調查研究發現,大多數公司企業仍在授出太多信任與權限,并未重視 PAM 也未有效實現 PAM。從業者應將 PAM 等關鍵基礎安全控制視為數字轉型驅動器。然而,公司企業并未采取最基本的措施來保護特權憑證。
- 超半數受訪者 (52%) 根本沒有密碼保管庫。
- 65% 至少經常共享系統和數據的 root 賬戶或特權訪問。
- 超過 1/5 (21%) 的受訪者仍未部署特權管理訪問權限的多因子身份驗證。
除了沒實現基本 PAM 解決方案,很多公司企業還沒實施可減少風險的基本策略和過程。比如說,63% 的受訪者指出,其公司撤銷離職人員的特權訪問通常需要一天以上的時間,期間公司暴露在暗網售賣特權訪問憑證等報復性利用的風險之下。
數字轉型改變了企業業務運營的方式,創建了無邊界環境,特權訪問不再適用于網絡內系統和資源。特權訪問應覆蓋基礎設施、數據庫和網絡設備、云環境、大數據項目、DevOps 和容器或微服務。此外,高級持續性威脅 (APT) 為企業的金融資產、知識產權和聲譽帶來了持續增加且不斷變化的風險。
調查發現,受訪者并未給予此新風險態勢應有的重視,僅在有限的現代用例上控制了特權訪問。
- 45% 的受訪者未以特權訪問控制措施保護公共和私有云工作負載。
- 58% 未以特權訪問控制保護大數據項目。
- 68% 未以特權訪問控制保護集線器、交換機和路由器等網絡設備。
- 72% 未以特權訪問控制保護容器。
特權訪問的另一個問題是,很多應用并未預留 PAM 解決方案集成接口——即便 Gartner 《2018 PAM 魔力象限》報告顯示,采用規范變更管理過程的公司企業中 40% 計劃在 2020 年嵌入或集成 PAM 工具以減小其風險界面。
佛瑞斯特研究公司的身份與權限管理報告:
Gartner PAM 項目:
Centrify 調查:
Gartner 《2018 PAM 魔力象限》報告: