压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

特權(quán)訪問管理（Privileged Access Management，PAM）是用來預(yù)防管理員賬戶身份威脅的常見解決方案。PAM的概念從理論上來講是近乎完美的，將管理員憑證放入保險庫，定期進(jìn)行密碼輪換，并密切監(jiān)控其會話。然而，現(xiàn)實(shí)情況卻不盡如人意，絕大多數(shù)PAM項(xiàng)目要么無限延期，要么完全停滯，根本無法實(shí)現(xiàn)其承諾的安全價值。

PAM的初始目標(biāo)：保護(hù)所有管理員用戶

PAM的概念很好理解：由于攻擊者會試圖通過篡改管理員憑證來進(jìn)行惡意訪問，所以需要采取措施來設(shè)置障礙，以防止他們得逞。PAM提供了額外的安全層，其中包括通過會話記錄來對管理連接進(jìn)行的密切監(jiān)視，以及通過存儲管理憑證來實(shí)現(xiàn)的主動防御。另外，PAM還強(qiáng)調(diào)密碼的定期更換，這可以大大增加攻擊成功的難度。因?yàn)榧词构粽咴O(shè)法破壞了管理憑證，密碼輪換也會使其無從下手。所以說在理論上，一切都是近乎完美的。

保護(hù)特權(quán)賬戶不受侵害的唯一辦法就是為所有的特權(quán)賬戶都創(chuàng)建一個易于實(shí)現(xiàn)的多因素身份驗(yàn)證（multifactor authentication，MFA）機(jī)制。無需對系統(tǒng)進(jìn)行定制化或網(wǎng)絡(luò)分割的設(shè)置，Silverfort解決方案提供了一種簡單且高效的方式，幾分鐘內(nèi)就可以投入運(yùn)行。它通過自適應(yīng)訪問策略，在所有的本地和云資源上強(qiáng)制執(zhí)行MFA防護(hù)，從而快速、無縫地保護(hù)特權(quán)賬戶免受網(wǎng)絡(luò)攻擊的侵害。

PAM的現(xiàn)實(shí)情況：引入過程漫長而復(fù)雜，延期長達(dá)數(shù)年

然而，最讓身份驗(yàn)證和安全團(tuán)隊(duì)頭疼的是，引入特權(quán)賬戶管理（PAM）解決方案是最耗費(fèi)資源的過程之一。事實(shí)上，很少有PAM項(xiàng)目能夠完全實(shí)現(xiàn)“保護(hù)環(huán)境中所有的管理賬戶”的目標(biāo)。相反，在部署過程中安全團(tuán)隊(duì)總會遇到各種挑戰(zhàn)，卻又缺乏易于實(shí)行的相應(yīng)對策。即使在最理想的情況下，項(xiàng)目也可能會拖延數(shù)月甚至數(shù)年。

數(shù)世咨詢指出，如果遇到了最糟糕的情況，整個項(xiàng)目都可能完全陷入停滯。無論是哪種情況，所造成的影響都是致命的。除了需要耗費(fèi)大量的時間和努力之外，PAM的核心目的也未能實(shí)現(xiàn)，管理員賬戶無法獲得所需的保護(hù)。

服務(wù)賬戶：用于在機(jī)器之間進(jìn)行連接的特權(quán)賬戶

服務(wù)賬戶是專門為機(jī)器之間的通信而創(chuàng)建的賬戶，通常包括兩種主要的創(chuàng)建方式。其中一種是通過IT進(jìn)行創(chuàng)建，用于對監(jiān)控、衛(wèi)生和維護(hù)等重復(fù)任務(wù)的自動化執(zhí)行，以代替低效率的手工方式。而另一種方式則是作為在企業(yè)環(huán)境中部署軟件產(chǎn)品的一部分。以O(shè)utlook Exchange服務(wù)器的部署為例，它需要創(chuàng)建各種賬戶來執(zhí)行掃描、軟件更新等任務(wù)，這些任務(wù)會涉及到Exchange服務(wù)器與環(huán)境中其他機(jī)器之間的連接。而服務(wù)賬戶則是為了在機(jī)器之間實(shí)現(xiàn)自動化通信和執(zhí)行特定任務(wù)而創(chuàng)建的。此外，為了完成所需的操作，它們通常會擁有一定的特殊權(quán)限。

無論如何，一個典型的服務(wù)賬戶必須擁有高特權(quán)才能建立起機(jī)器之間的連接。這就意味著在所需的安全防護(hù)方面，服務(wù)賬戶與人類管理員賬戶之間是沒有區(qū)別的。然而不巧的是，將服務(wù)賬戶納入PAM解決方案是幾乎不可能完成的，這也使其成為了PAM部署過程中的最大障礙。

可見性缺失：缺乏易于實(shí)行的方法來識別服務(wù)賬戶并對其活動進(jìn)行映射

遺憾的是，在獲取服務(wù)賬戶清單的可見性方面，并不存在什么可行的捷徑。在大多數(shù)環(huán)境中，除非在服務(wù)賬戶的創(chuàng)建、分配以及刪除等操作上進(jìn)行了多年來的嚴(yán)格監(jiān)控和記錄，否則很難準(zhǔn)確地了解服務(wù)賬戶的實(shí)際數(shù)量。而且這種持續(xù)且嚴(yán)格地監(jiān)控和記錄在現(xiàn)實(shí)實(shí)踐中也并不常見。也就是說，要想完全識別環(huán)境中的所有服務(wù)賬戶，就必須通過大量的手動識別工作來完成。這對于大多數(shù)身份驗(yàn)證團(tuán)隊(duì)來說無疑是天方夜譚。

數(shù)世咨詢強(qiáng)調(diào)，即便是克服了服務(wù)賬戶的識別挑戰(zhàn)，接踵而至的還有另一個更加棘手的問題，即映射每個賬戶的目的及其所導(dǎo)致的依賴關(guān)系（該賬戶支持和管理的流程或應(yīng)用程序），這才是PAM所面臨的最關(guān)鍵障礙。

PAM的影響：在缺乏對服務(wù)賬戶活動可見性的情況下更改其密碼可能會破壞其所管理的流程

要使服務(wù)賬戶連接到不同的機(jī)器來執(zhí)行任務(wù)，最典型方式就是：使用腳本，該腳本中包括所要連接到的機(jī)器名稱、在這些機(jī)器上執(zhí)行的實(shí)際命令、以及用于對機(jī)器進(jìn)行身份驗(yàn)證的服務(wù)賬戶用戶名及其密碼。然而該方法會與PAM的部署發(fā)生沖突。這是因?yàn)镻AM在保險庫中更改了服務(wù)賬戶的密碼，但卻無法自動更新腳本中的硬編碼密碼來匹配PAM所生成的新密碼。

所以，腳本在密碼發(fā)生更改后首次執(zhí)行時，服務(wù)賬戶會使用舊密碼來進(jìn)行身份驗(yàn)證，其結(jié)果必然是會失敗的。于是，這就導(dǎo)致了服務(wù)賬戶無法完成其應(yīng)執(zhí)行的任務(wù)，同時也會對所有依賴于該任務(wù)的其他流程或應(yīng)用程序造成破壞。最后，這種連鎖效應(yīng)所帶來的損害無疑是非常嚴(yán)重的。

PAM服務(wù)賬戶所面臨的困境在于需要在運(yùn)營和安全問題之間取得平衡

數(shù)世咨詢表示，事實(shí)上，考慮到這個風(fēng)險，大多數(shù)身份驗(yàn)證團(tuán)隊(duì)會盡量避免將服務(wù)賬戶納入保險庫。而這也正是困境所在——將服務(wù)賬戶納入保險庫會產(chǎn)生運(yùn)營風(fēng)險，但如果不將其納入則會帶來同樣嚴(yán)重的安全風(fēng)險。遺憾的是，直到現(xiàn)在也沒有一個易于實(shí)行的方案來解決該困境。這就是為什么服務(wù)賬戶是PAM引入過程中的一大障礙。

為了同時滿足安全和運(yùn)營的要求，唯一的辦法就是執(zhí)行一項(xiàng)繁瑣的手動工作，識別所有的服務(wù)賬戶及其所涉及的腳本，以及其所執(zhí)行的任務(wù)和應(yīng)用程序。這是一項(xiàng)艱巨的任務(wù)，也是導(dǎo)致PAM引入過程需要花費(fèi)數(shù)月甚至數(shù)年時間的主要原因。

自動化的服務(wù)賬戶識別以及活動映射來克服挑戰(zhàn)

問題的根源在于傳統(tǒng)的解決方案缺乏一種能夠輕松識別所有服務(wù)賬戶并提供它們活動信息的實(shí)用工具。

Silverfort開創(chuàng)了第一個與Active Directory本地集成的統(tǒng)一身份保護(hù)平臺，用于監(jiān)控、分析，并強(qiáng)制執(zhí)行AD環(huán)境中的所有用戶賬戶和資源上的活動訪問策略。通過集成，AD將每個入站訪問嘗試轉(zhuǎn)發(fā)給Silverfort來進(jìn)行風(fēng)險分析，并等待其決定是否向其授予訪問權(quán)限。

借助Silverfort對所有認(rèn)證過程的可見性和分析能力，安全團(tuán)隊(duì)可以輕松檢測出那些具有重復(fù)和確定性行為特征的服務(wù)賬戶。Silverfort能夠識別出這些服務(wù)賬戶，并生成一個詳細(xì)的列表，其中包括所有服務(wù)賬戶的特權(quán)級別、來源、目標(biāo)和活動量等信息。

有了這些信息，身份驗(yàn)證團(tuán)隊(duì)就可以輕松地識別每個服務(wù)賬戶的依賴關(guān)系和應(yīng)用程序，同時對運(yùn)行它們的腳本進(jìn)行定位，進(jìn)而對服務(wù)賬戶作出合理的處理決策：

? 將密碼置于保險庫中并進(jìn)行定期的密碼輪換：在這種情況下，新獲得的可見性使得組織能夠輕松地對相應(yīng)腳本進(jìn)行必要的調(diào)整，以確保其中包含的密碼與保險庫中的密碼保持一致。

? 將密碼置于保險庫中，使用Silverfort策略代替密碼輪換來提供保護(hù)：有些情況下，例如服務(wù)賬戶的使用量很大時，頻繁地更換密碼會變得十分困難。此時安全團(tuán)隊(duì)可以避免進(jìn)行密碼輪轉(zhuǎn)，轉(zhuǎn)而使用Silverfort自動生成的策略來保護(hù)服務(wù)賬戶，即在檢測到其行為異常時發(fā)出警報或阻止其訪問。

通過上述的方法，Silverfort成功地將特權(quán)訪問管理（PAM）的引入流程縮短至幾周的時間，即使是在擁有數(shù)百個服務(wù)賬戶的環(huán)境下，也可以實(shí)現(xiàn)這個目標(biāo)。

Silverfort解決方案的自動化服務(wù)賬戶識別和活動映射提供了全面的可見性和控制，大大簡化了PAM的引入流程。但對于某些組織來說，特別是在大型復(fù)雜的IT環(huán)境下，將Silverfort解決方案與現(xiàn)有的IT基礎(chǔ)設(shè)施集成可能會面臨一定的復(fù)雜性挑戰(zhàn)，需要進(jìn)行額外的配置和定制以確保與現(xiàn)有系統(tǒng)的兼容性和平穩(wěn)集成。組織在考慮采用Silverfort解決方案時應(yīng)權(quán)衡多方因素，確保與其特定需求和環(huán)境的適配性。

來源：數(shù)世咨詢