什么是導致特權訪問管理工程延期的主要原因?
責編:gltian |2023-06-13 14:02:18特權訪問管理(Privileged Access Management,PAM)是用來預防管理員賬戶身份威脅的常見解決方案。PAM的概念從理論上來講是近乎完美的,將管理員憑證放入保險庫,定期進行密碼輪換,并密切監控其會話。然而,現實情況卻不盡如人意,絕大多數PAM項目要么無限延期,要么完全停滯,根本無法實現其承諾的安全價值。
PAM的初始目標:保護所有管理員用戶
PAM的概念很好理解:由于攻擊者會試圖通過篡改管理員憑證來進行惡意訪問,所以需要采取措施來設置障礙,以防止他們得逞。PAM提供了額外的安全層,其中包括通過會話記錄來對管理連接進行的密切監視,以及通過存儲管理憑證來實現的主動防御。另外,PAM還強調密碼的定期更換,這可以大大增加攻擊成功的難度。因為即使攻擊者設法破壞了管理憑證,密碼輪換也會使其無從下手。所以說在理論上,一切都是近乎完美的。
保護特權賬戶不受侵害的唯一辦法就是為所有的特權賬戶都創建一個易于實現的多因素身份驗證(multifactor authentication,MFA)機制。無需對系統進行定制化或網絡分割的設置,Silverfort解決方案提供了一種簡單且高效的方式,幾分鐘內就可以投入運行。它通過自適應訪問策略,在所有的本地和云資源上強制執行MFA防護,從而快速、無縫地保護特權賬戶免受網絡攻擊的侵害。
PAM的現實情況:引入過程漫長而復雜,延期長達數年
然而,最讓身份驗證和安全團隊頭疼的是,引入特權賬戶管理(PAM)解決方案是最耗費資源的過程之一。事實上,很少有PAM項目能夠完全實現“保護環境中所有的管理賬戶”的目標。相反,在部署過程中安全團隊總會遇到各種挑戰,卻又缺乏易于實行的相應對策。即使在最理想的情況下,項目也可能會拖延數月甚至數年。
數世咨詢指出,如果遇到了最糟糕的情況,整個項目都可能完全陷入停滯。無論是哪種情況,所造成的影響都是致命的。除了需要耗費大量的時間和努力之外,PAM的核心目的也未能實現,管理員賬戶無法獲得所需的保護。
服務賬戶:用于在機器之間進行連接的特權賬戶
服務賬戶是專門為機器之間的通信而創建的賬戶,通常包括兩種主要的創建方式。其中一種是通過IT進行創建,用于對監控、衛生和維護等重復任務的自動化執行,以代替低效率的手工方式。而另一種方式則是作為在企業環境中部署軟件產品的一部分。以Outlook Exchange服務器的部署為例,它需要創建各種賬戶來執行掃描、軟件更新等任務,這些任務會涉及到Exchange服務器與環境中其他機器之間的連接。而服務賬戶則是為了在機器之間實現自動化通信和執行特定任務而創建的。此外,為了完成所需的操作,它們通常會擁有一定的特殊權限。
無論如何,一個典型的服務賬戶必須擁有高特權才能建立起機器之間的連接。這就意味著在所需的安全防護方面,服務賬戶與人類管理員賬戶之間是沒有區別的。然而不巧的是,將服務賬戶納入PAM解決方案是幾乎不可能完成的,這也使其成為了PAM部署過程中的最大障礙。
可見性缺失:缺乏易于實行的方法來識別服務賬戶并對其活動進行映射
遺憾的是,在獲取服務賬戶清單的可見性方面,并不存在什么可行的捷徑。在大多數環境中,除非在服務賬戶的創建、分配以及刪除等操作上進行了多年來的嚴格監控和記錄,否則很難準確地了解服務賬戶的實際數量。而且這種持續且嚴格地監控和記錄在現實實踐中也并不常見。也就是說,要想完全識別環境中的所有服務賬戶,就必須通過大量的手動識別工作來完成。這對于大多數身份驗證團隊來說無疑是天方夜譚。
數世咨詢強調,即便是克服了服務賬戶的識別挑戰,接踵而至的還有另一個更加棘手的問題,即映射每個賬戶的目的及其所導致的依賴關系(該賬戶支持和管理的流程或應用程序),這才是PAM所面臨的最關鍵障礙。
PAM的影響:在缺乏對服務賬戶活動可見性的情況下更改其密碼可能會破壞其所管理的流程
要使服務賬戶連接到不同的機器來執行任務,最典型方式就是:使用腳本,該腳本中包括所要連接到的機器名稱、在這些機器上執行的實際命令、以及用于對機器進行身份驗證的服務賬戶用戶名及其密碼。然而該方法會與PAM的部署發生沖突。這是因為PAM在保險庫中更改了服務賬戶的密碼,但卻無法自動更新腳本中的硬編碼密碼來匹配PAM所生成的新密碼。
所以,腳本在密碼發生更改后首次執行時,服務賬戶會使用舊密碼來進行身份驗證,其結果必然是會失敗的。于是,這就導致了服務賬戶無法完成其應執行的任務,同時也會對所有依賴于該任務的其他流程或應用程序造成破壞。最后,這種連鎖效應所帶來的損害無疑是非常嚴重的。
PAM服務賬戶所面臨的困境在于需要在運營和安全問題之間取得平衡
數世咨詢表示,事實上,考慮到這個風險,大多數身份驗證團隊會盡量避免將服務賬戶納入保險庫。而這也正是困境所在——將服務賬戶納入保險庫會產生運營風險,但如果不將其納入則會帶來同樣嚴重的安全風險。遺憾的是,直到現在也沒有一個易于實行的方案來解決該困境。這就是為什么服務賬戶是PAM引入過程中的一大障礙。
為了同時滿足安全和運營的要求,唯一的辦法就是執行一項繁瑣的手動工作,識別所有的服務賬戶及其所涉及的腳本,以及其所執行的任務和應用程序。這是一項艱巨的任務,也是導致PAM引入過程需要花費數月甚至數年時間的主要原因。
自動化的服務賬戶識別以及活動映射來克服挑戰
問題的根源在于傳統的解決方案缺乏一種能夠輕松識別所有服務賬戶并提供它們活動信息的實用工具。
Silverfort開創了第一個與Active Directory本地集成的統一身份保護平臺,用于監控、分析,并強制執行AD環境中的所有用戶賬戶和資源上的活動訪問策略。通過集成,AD將每個入站訪問嘗試轉發給Silverfort來進行風險分析,并等待其決定是否向其授予訪問權限。
借助Silverfort對所有認證過程的可見性和分析能力,安全團隊可以輕松檢測出那些具有重復和確定性行為特征的服務賬戶。Silverfort能夠識別出這些服務賬戶,并生成一個詳細的列表,其中包括所有服務賬戶的特權級別、來源、目標和活動量等信息。
有了這些信息,身份驗證團隊就可以輕松地識別每個服務賬戶的依賴關系和應用程序,同時對運行它們的腳本進行定位,進而對服務賬戶作出合理的處理決策:
? 將密碼置于保險庫中并進行定期的密碼輪換:在這種情況下,新獲得的可見性使得組織能夠輕松地對相應腳本進行必要的調整,以確保其中包含的密碼與保險庫中的密碼保持一致。
? 將密碼置于保險庫中,使用Silverfort策略代替密碼輪換來提供保護:有些情況下,例如服務賬戶的使用量很大時,頻繁地更換密碼會變得十分困難。此時安全團隊可以避免進行密碼輪轉,轉而使用Silverfort自動生成的策略來保護服務賬戶,即在檢測到其行為異常時發出警報或阻止其訪問。
通過上述的方法,Silverfort成功地將特權訪問管理(PAM)的引入流程縮短至幾周的時間,即使是在擁有數百個服務賬戶的環境下,也可以實現這個目標。
Silverfort解決方案的自動化服務賬戶識別和活動映射提供了全面的可見性和控制,大大簡化了PAM的引入流程。但對于某些組織來說,特別是在大型復雜的IT環境下,將Silverfort解決方案與現有的IT基礎設施集成可能會面臨一定的復雜性挑戰,需要進行額外的配置和定制以確保與現有系統的兼容性和平穩集成。組織在考慮采用Silverfort解決方案時應權衡多方因素,確保與其特定需求和環境的適配性。
來源:數世咨詢