国际权威技术分析咨询研究公司Gartner在2018年连续两年将“特权账户管理(PAM)”列入年度“年度十大安全项目评审”,并2019年,排名第一。那么,特权账户管理到底是什么?今天我们就来聊一聊特权账户管理相关的问题,包括什么是特权账户,特权账户存在哪些风险,特权账户有什么特点,以及特权账户管理的难点。特权账户在哪里,如何管理,特权账户管理的核心能力是什么,特权账户管理与其他相关管理系统的关系等。1.什么是特权账户对于特权账户的理解不同的人有不同的看法帐户。有人认为特权账户是操作系统中的root账户和数据库中的DBA账户;有人认为特权账户不仅应该包括root、DBA等超级管理员账户,还应该包括在操作系统和数据库中具有普通权限的账户;有人认为特权账户也应该包括其他系统设备中的管理账户。这里的其他系统包括网络设备、安全设备、集中管控平台(云管理平台、自动化管理平台等)、Web管理后台(Weblogic管理后台、虚拟专用网设备Web管理后台等)等。笔者认为,特权账户是授予相关业务操作、系统管理、系统运维人员系统维护、权限增加、数据修改删除、导出等高级权限的系统账户。企业运作的过程。这些账户及其持有人控制着企业信息系统的生死存亡,大多数时候这些账户都在为企业各项业务的正常开展保驾护航。然而,道与魔,一念之间。突如其来的恶意,或“无心指点”,这些缺乏控制权的特权账户可能会给公司业务带来灾难。判断一个账户是否为特权账户的简单方法是“该账户是否进行了极具破坏性的操作(包括删除、添加权限等),是否会直接影响到他人或第三方,导致他人或第三方对第三方无法工作,信息泄露等。”比如OA管理员删除了一个用户的OA账号或者删除了所有的OA账号,其他用户就不能使用OA系统了,你觉得OA管理员是特权账号吗?router,andswitch删除所有的访问策略和路由配置。你以为这个网络管理员账号是特权账号吗?有的时候,特权账号和个人账号的表达形式上面可能是一样的,比如OA账号,域帐号、LDAP统一认证帐号等,但是在不同的系统中,该帐号被赋予不同的权限。当作为系统管理员时,该帐号具有一定的权限,成为特权帐号。例如,如果一个员工是邮件系统管理员,通过邮件客户端登录邮箱时是普通账号,登录邮件系统管理后台时m,此时他是特权账号。当然,目前有些系统(据我所知,这个“一些”就是“很多”)通过单独创建一个账户来管理后台账户,然后将“新账户”的账户凭证告诉一个员工,让他成为系统的一员。administrator,此时员工的特权账号就是这个“账号”,而不是他的OA账号、域账号等。总的来说,笔者认为特权账号可以分为以下两种场景:一种是特权以Web业务系统为代表的业务系统账号及其管理后台;另一种是以操作系统、数据库、网络设备为代表的信息基础设施管理后台的特权账户。这两种账户有什么区别?第一类特权账号可以和员工的OA账号或者员工号保持一致,尽量保持一致。通过删除员工账号权限,可以取消员工离职、工作调动等变更。;第二种特权就不一定了。这类特权账户是从操作系统、数据库、网络设备的运维角度来设置的。此类账号一经设置,不可随意删除。有时无法通过删除账号的方式收回账号权限。此时可能的方法是修改账号登录凭证、限制登录源IP地址等替代手段。对于第一类账户,即与员工OA账户一致的Web应用系统的特权账户,可以与企业内部SSO、LDAP用户数据库对接,通过统一管理用户密码LDAP。这不是本文的重点。本文主要针对第二种特权账户的管理,即LDAP无法管理的那些特权账户的管理。二、特权账户有什么特点?一是特权账户分散在业务系统、应用程序、数据库、网络设备、各种应用系统和操作系统中。只要是你在企业中能看到的任何一个信息系统,都至少有一个特权账户。在你所见所闻、所见所及、所见所闻、所见所闻,所有系统都包含特权帐户。二是特权账户持有人分散。他可能是数据中心的技术运维人员,也可能是企业总部的业务、物流、人力资源等任何部门的人员,也可能是远程子公司的业务运营部门的人员。人员等。但总的来说,总部的技术部和业务部应该占绝大多数。大量的。由于许多信息系统资产(软件、硬件等)创建了多个特权帐户。据估计,特权账户数量可能达到企业信息系统(主机操作系统、数据库、业务系统、管理系统等)数量的5-10倍,甚至更多。大权威。既然叫特权账号,就必须有一定的特殊权限,比如添加用户、批量下载数据、进行高权限操作、删除核心数据等。另外,根据业务系统的重要程度,特权帐户的特权风险更大。3.特权账户有哪些风险?特权账户保管不善,导致登录凭据泄露、丢失,被恶意攻击者和别有用心之人获取,攻??击者利用登录凭据擅自访问业务系统,可能导致系统数据被删除、恶意提升管理员权限、非法下载大量数据等,特权账户从创建、使用、存储到注销的全过程面临更大的泄密风险。例如,一些特权账户需要多次转移(从超级管理员到普通管理员)。目前常用的是邮箱和微信。对于传输,一些安全意识高的可能还会进行加密处理,而一些安全意识差或者紧急情况下,密码明文传输的比比皆是。如果攻击者获取了部分账号和密码,就可能对企业进行大规模的横向扩展攻击,造成大规模的系统入侵。特权账户持有人恶意破坏自己运维的信息系统,如删除数据库、格式化等操作,如前段时间发生的微盟员工恶意删除数据库事件。2020年2月25日,微盟发布公告称:“公司发现自2月23日19:00起出现服务故障,大面积服务集群无法响应,生产环境和数据遭到严重破坏。经查,此次故障系微盟核心运维人员因“个人精神和生活原因”恶意破坏所致。微盟预计2月28日24:00前恢复旧用户数据。“原因是拥有特权账号权限的核心运维人员恶意破坏。特权账号持有者自我防范,利用自己的特权账号非法下载大量数据,查看他人敏感信息等特权账户持有人犯错人总是会犯错,尤其是在很累的时候,更容易操作,因为特权账户有更高的维护权限,操作它们make的破坏性比较大,比如操作系统运维人员在清理磁盘数据时,没有看清操作路径,就用rm-rf*.*把数据库目录下的数据文件全部删除了。,特权账户管理的难点在哪里?企业特权账户的全局难以掌控伊势。这些账户在什么地方、谁在使用,目前是一个混乱的账户,缺乏长期持续的自动发现和持续跟踪。难以动态管理特权帐户凭据(密码、密钥等),例如定期更改。特权账户数量过多每个运维人员都需要掌握几个、几十个、甚至上百个特权账户,以及定期更换密码、密码强度等管理需求。对于管理员来说,简直就是一场灾难,导致普通密码、固定密码等问题无法避免。缺乏有效的账户凭证传输手段。系统A的特权账号可能不止一个管理员操作,其他四五个管理员也可能操作,而且可能还有其他下游系统需要使用这个账号。如果更改后凭证无法有效传输,可能会导致下游应用无法同步,从而导致生产失败。对特权帐户凭据的集中自动化管理信心不足。特权账户集中管理后,特权账户管理员自己不一定能准确掌握账户密码。这种不确定性导致管理员对特权帐户的集中管理严重缺乏信心。他们担心集中管理平台的风险会导致信息系统整体不可控、不可维护。造成严重的安全事故。5.如何管理特权账户对于企业安全管理者来说,在了解了以上关于特权账户的相关内容后,接下来的重点是如何管理特权账户?有哪些解决方案?按照惯例,我们先来看看成熟的特权账户方案有哪些?Gartner分别于2018年和2020年发布了一个版本的特权账户管理魔力象限。图中领导者象限中的几家公司包括Cyber??ark、BeyondTrust、Centrify等。不幸的是,第一,这些公司中只有第一家在中国有大量业务,其他公司都没有代理。第二,这张图的名单上没有国内公司。此外,IBM、Oracle等公司也有自己的特权账户产品。这里扯个题外话。在特权账号管理方案的研究、研究和测试过程中,国内几家堡垒机厂商开始宣称自己拥有特权账号解决方案。有一个特权帐户制造商“蔑视链”。国外厂商说:我们是国内唯一的特权账户解决方案,其他都是堡垒机。国内厂商提到的特权账户方案都是假的。国内某厂商:我们是国内唯一一家做特权账号方案的厂家,其他都是堡垒机,不是真正的特权账号方案。其他国内厂商:我们不仅是堡垒机,我们还有特权账号解决方案。这些都是八卦,那么特权账户管理应该是什么姿势呢?经过半年多的学习、测试和实施,笔者认为特权账户管理的总体方案应该包括集中账户管理、密码管理和账户管理。自动发现、访问管理、提供密码调用服务、流程控制、日常监控、日常审计等。(1)中心化账户管理:高度去中心化的特权账户在安全管控上是不可行的,因此笔者认为主要特权账户管理的技术防控措施思路是“先集中后管控”。只有将特权账户集中起来,才能进行一些有效的管理,比如实施统一的安全策略,方便审计等。账户分布在各个系统中。如果不能通过某种手段对特权账户进行集中保管,显然不适合管理。这是特权帐户管理的第一步。需要建立一个统一的平台,能够满足多样化系统的密码保管能力。该平台必须具有良好的平台兼容性。否则,操作系统一套平台,数据库一套平台,仍然难以操作、维护和使用特权账户管理。(2)密码密码管理:特权账户管理的核心是密码管理。需要定期修改密码,通过自动化手段设置密码安全策略,使密码满足高复杂度、一机一密、定期修改的要求。;(3)自动账户发现:无论任何系统,从系统建立到销毁的整个生命周期可能会持续数年。期间,由于测试需要、人员变动等原因,很多账号长期闲置。这些账户长期缺乏维护,风险很大。因此,特权账户管理需要具备发现一些僵尸账户和冗余账户的能力;(4)访问管理:提供访问管理功能有几个原因。集中管理系统必须提供特权账户的访问通道,否则无法管理目标系统;其次,管理员在管理目标系统时,必须能够提供高危行为阻断、二次验证等功能。三是统一访问控制通道后不允许其他网络访问策略。因此,业务系统管理者需要主动联系中心化平台对接特权账户,这在一定程度上避免了“业务系统先上线,安全人员被动跟进”。困境。门禁控制也是国内堡垒机厂商的核心能力。不过最近听国内某传统堡垒机厂商讲解特权账户解决方案时,就把这部分省略了,弱化了。只是说可以和自己的堡垒机联动。并行堡垒机和特权帐户管理。笔者认为,堡垒机功能是特权账户解决方案的一个子集,必须将其作为特权账户解决方案的一个整体来考虑,而不仅仅是联动。(5)提供密码调用服务:密码托管后,如果不能提供有效的API接口供下游系统调用,则无法实现特权账户管理平台定期修改密码的功能。因此,特权账户管理必须能够为第三方系统提供API调用服务。笔者认为,这是国内堡垒机厂商被PAM厂商排斥的主要原因。国内的堡垒机早就有账号管理功能,可以托管一些账号密码,但是没有提供API调用的能力,所以只能修改一些不会被别人使用的账号密码,而密码需要被其他系统使用的只能保持固定。6、流程控制:流程控制最重要的是将审批流程与特权账户使用流程关联起来,在特权账户使用流程中设置关键控制点。例如在填写特权账户密码时,必须经过审批流程批准后才能下发密码并填写。例如特权账户的危险操作,如rm-rf*.*,DROPDatabase等,必须经过第二人审核或增加一个验证确认的步骤。在特权账户操作过程中增加审批和确认流程,降低特权账户误操作和恶意操作的风险。7、日常监控:通过集中的特权账户管理平台,无需监控分析审计人员与海量业务系统一一对接,识别用户操作行为,阻断rm-rf等高危操作*.*等,对用户进行UEBA分析,例如目标系统登录日志中是否存在非统一访问控制通道发起登录操作,大量new等高危操作创建、删除、修改、批量导出在短时间内出现在操作日志中,可以判断为异常,从而发出警报,让管理人员进行应急处理。8、日常审计:在风险管理领域,有一个著名的“三道防线”理论,即建设、风险管理和审计。在特权账户管控方面,制度建设、流程建设、技术控制手段等都被视为第一道防线,运营监控应被视为第二道防线。定期对安全措施是否落实和整改进行事后审计和评估,是安全管控措施的最后一道防线。无论制度、流程、技术、操作手段再好,如果没有适当的审计措施,都可能出现“制度执行不到位、流程流于形式、技术控制失灵”等问题。六、企业在实施特权账户管理的过程中需要注意什么1.多平台、多系统的兼容性如果一个平台具备一定的特权账户管理能力,那么它只能支持一两个平台和系统的账户管理。好吧,它可能不能称为真正的特权帐户管理平台。这也是国内堡垒机厂商被国外厂商诟病的主要原因之一。目前,典型的特权账户管理平台解决方案支持的平台和系统类型已经包括:操作系统:支持Windows系列(本地和AD域账户)、IBMAS系列、Linux系列、Unix系列、Aix等数据库:支持ORACLE、SQLSERVER、SYBASE、MySQL等网络及安全设备:支持Cisco、H3C、华为、绿盟科技等厂商的交换机、路由器、IDS、网守、防火墙、带外管理等网络安全设备360,山石网科支持阿里云、腾讯云等云管理员账号和AccessKey等特权账号的托管,并支持此类账号自动修改密码。支持通过底层账号自动扫描现有和新增的阿里云、腾讯云实例,安全托管账号,自动修改账号密码。在具备兼容上述已知系统的能力的同时,还应具有较强的定制和扩展能力,能够快速适应快速发展的计算机终端、操作系统和数据库市场。2、账户凭据(密码)自动修改密码的可靠性一个号称具有自动修改密码功能的特权账户管理平台,如果在修改密码的过程中总是出错,在实验室环境下,即使修改密码的精度达到99%不行,10000个账号改一次就犯100个错误,更何况数据中心环境复杂,系统管理员难以承受。但遗憾的是,目前还没有权威的评测机构进行相应的测试验证。所有的可靠性都是厂商自己的说辞,没有大规模应用很难验证。在这里,笔者认为可以多和其他方面进行研究,问问别人用的是什么,有没有坑,然后选择口碑好的,应用时间长的。3、特权账户平台本身的安全性和健壮性。平台本身的安全性和健壮性主要关注解决方案是否充分考虑了备份、容灾切换、容灾恢复、信息安全等措施。在甲方实施过程中,您是否有典型的部署、实施和实践经验?4、密码调用接口的稳定性和安全性一方面,随着特权账户管理平台管理的对象越来越多,未来越来越多的系统需要调用系统的密码获取接口。该接口的稳定性至关重要,不能出现严重的服务不可用问题。另一方面,密码调用接口本身必须具备访问控制、密码安全传输、接口鉴权、防批量拉取等能力。否则,平台可能成为集中的密码泄露渠道。还需要支持获取不同应用的密码,比如支持应用系统源码、配置文件(包括txt、ini等)、API接口账号、服务账号、定时任务、中间件数据源密码,等5.横向扩展能力企业信息化的过程是一个循序渐进、深入推进的过程。随着时间的推移,企业中信息系统和数据中心的数量会不断增加。因此,一个优秀的特权账户管理平台必须具备强大的横向扩展能力,才能满足企业快速的信息化需求。改造过程中的特权账户管控需求。七、其他可能关注的问题1、特权账户管理系统与堡垒机的关系。每个第一次接触特权账号管理的人,在听到特权账号管理的相关功能后,都会有一个疑问。他和堡垒主是什么关系?这里有几个观点与读者分享:第一,特权账户管理本身就具有堡垒机的功能。如上所述,堡垒主机功能是特权帐户管理的一个子集。从某种意义上说,特权账户管理方案完全可以替代堡垒机方案。其次,如果非要找出它们的区别,那么我认为堡垒机的核心功能是控制目标主机的访问通道,而特权账户管理的核心功能是管理目标主机的账户密码目标主机。三是国内堡垒机厂商在以往的解决方案中过于注重访问控制,对密码管理和密码API接口服务的支持不够。事实上,它们不能称为特权帐户解决方案。第四,随着时间的发展,我觉得特权账户的方案已经基本成型了,就像一辆汽车,一个发动机,一个车架,四个轮子,一百年都没有变过。未来国内的堡垒机厂商肯定也会往这个方向发展。2.特权账户管理系统与LDAP/IAM系统的关系说到账户,另一个比较容易混淆的问题是特权账户管理系统与LDAP/IAM系统的关系。特权账户管理系统管理的账户是机器上的账户;而LDAP/IAM系统管理的账户都是人账户,他们的关系如下图所示(图中的特权账户root和dba只是举例,实际情况远不止于此)。用户使用LDAP帐号通过双因素认证登录特权帐号系统后,特权帐号管理系统对目标系统的特权帐号进行管理。然后,将托管账号授权给对应的LDAP账号管理员进行管理。3、特权账户管理系统在网络攻防中的价值安全圈的朋友都说过,弱口令,各种弱口令,系统弱口令,应用弱口令,用户弱口令。如果密码问题解决了,我觉得至少可以解决企业50%的安全问题。攻击者在进行渗透攻击时,除了利用漏洞,很多攻击都是基于用户账号,利用弱口令和普通口令进行单点突破和横向移动。如果有一个平台可以实现账号密码都是强密码,而且真的是一机一密一账号一密码,那估计内网的横向攻击就不会那么简单了?8.结论从技术角度来看,目前市场上的“特权账户管理”的相关解决方案确实是一个比较好的特权账户管理方案;但从甲方企业的角度来看,他们的解决方案只是企业特权账户管理整体解决方案中的一点或几点。打个比方,如果把企业安全建设看成是“战略”,把企业特权账户管理看成是“战术行动”,那么上述企业提供的解决方案最多只能看成是“一战或几战”。不过,这几场战役可能是特权账号管理中的“重点战役”和“核心战役”,但如果没有其他“战役”的支持,单靠这几场战役是很难达到“战术目标”的.甲方企业特权账户管理必须从系统建设、过程控制、技术控制、监控审计等多个方面提出整体解决方案,才能在特权账户管理领域形成更有效的安全管控能力并建立一个特权账户管理平台只是一个开始。
