特权帐户经常受到攻击者的追捧,因为他们可以访问公司最有价值的信息。组织必须安全有效地管理特权访问。许多合规性法规建议对特权用户管理进行强有力的安全控制。为了满足这些要求并防止灾难性的数据泄露,组织实施各种形式的特权访问管理(PAM)作为其日常安全操作的一部分。但是如何选择合适的PAM解决方案呢?您需要寻找哪些功能?Gartner《2019 特权访问管理最佳实践》提出一个好的PAM解决方案应该建立在四个基础上:提供所有特权账户的完整可见性治理和控制特权访问监控和审计为特权活动自动化和集成PAM工具基于这四个基础,本文列出了PAM的最重要功能,可帮助组织保护敏感数据免受特权访问。1.不断寻找特权账户你无法保护你看不到的东西。因此,发现网络中的每一个特权帐户是必须具备的功能。PAM解决方案应该能够发现人类用户和应用程序使用的各种特权帐户。通过对网络中所有特权帐户的完全可见性,可以轻松摆脱不必要的管理员帐户,指定哪个帐户或哪个特定用户可以访问哪些关键资产。您可以更进一步,通过删除所有默认管理员帐户、实施最小权限原则或零信任安全方法来加强系统安全性。实施这些功能的最大挑战是保持与特权帐户相关的数据更新。权限提升中的任何错误都会使公司的网络安全面临严重风险。2.多重身份验证多重身份验证(MFA)功能是确保只有合适的人才能访问关键数据的基本方法。这种方法还可以降低恶意内部人员“借用”同事密码的风险,从而防止内部威胁。大多数MFA工具提供两种身份验证因素的组合:已知(用户凭据)拥有(生物识别、发送到用户经过身份验证的移动设备的一次性密码等)实现此功能的主要挑战之一是定义哪些端点和资产需要最严格的保护。为避免让您的员工不堪重负,请仅在必要的时间和地点实施MFA。3.会话管理许多安全供应商提供特权访问和会话管理(PASM),作为独立解决方案或作为其PAM软件的一部分。监控和记录特权会话的能力为安全专业人员提供了他们审计特权活动和调查网络安全事件所需的所有信息。实现此功能的主要挑战是将每个记录的会话与特定用户相关联。在许多公司中,员工使用共享帐户访问各种系统和应用程序。如果不同用户使用相同的凭据,则他们发起的会话将链接到相同的共享帐户。为了解决这个问题,PAM应该为共享和默认帐户提供第二级身份验证。这样,如果用户使用共享帐户登录系统,则需要额外的个人凭证来确认特定会话是由特定用户发起的。4.一次性密码确保只有正确的用户有权访问关键资产的另一种方法是部署一次性密码功能。此功能最适用于向第三方承包商授予对公司关键信息资产的即时(JIT)访问权限。一次性密码有效期短,不可重复使用,降低数据泄露风险。5.用户和实体行为分析(UEBA)用户和实体行为分析(UEBA)工具有助于提供有关特权帐户遭到破坏的早期预警。UEBA工具分析其他PAM工具记录的数据,包括会话记录和日志,以识别一般用户行为模式。如果特定用户或实体的行为开始偏离其典型模式,它将被标记为可疑。UEBA工具旨在帮助补充其他安全工具并及早检测入侵。目前,市场上有大量可用的UEBA工具,既有独立的UEBA解决方案,也有嵌入UEBA功能的安全解决方案。为了正确管理特权访问,PAM或安全信息和事件管理(SIEM)解决方案最好包含UEBA功能。6.实时通知攻击越早停止,造成的影响就越小。但为了能够及时响应潜在的安全事件,警报通知的时间应该接近实时。因此,在选择特权访问管理解决方案时,一定要检查它是否具有良好的警报系统。大多数PAM解决方案都提供一组标准的规则和警报。例如,每次系统记录特权帐户的失败登录尝试时,都可以通知安全人员。或者更进一步,为特定事件、活动甚至用户组创建自定义警报。7.全面的报告和审计PAM工具通常会收集大量数据:活动日志、键盘记录器、事件日志、会话日志等等。但是,如果PAM解决方案无法从中生成详尽的报告,则无法收集任何有用的数据。因此,需要具备根据其特定需求生成不同类型报表的能力。特别注意可以包含在报告中的数据和信息的类型。例如,如果生成的报告包括特权帐户执行的所有活动,或在正常工作时间之外启动的所有特权会话,情况会好得多。在某些情况下,取证分析涉及调查安全事件或评估当前安全系统的状态。因此,在所选的特权访问管理解决方案中具有取证导出功能是个好主意。将您的PAM解决方案与您当前的SIEM集成也是一个优势。这最大限度地利用PAM工具收集的数据,以更有效的方式分析潜在威胁。结论滥用特权访问会导致灾难性的后果,使攻击者能够轻松收集最有价值和最重要的信息。大多数合规性法规还要求适当保护和管理特权访问,尽管有时此要求是间接的。因此,部署一个好的PAM解决方案是每个现代企业必不可少的一步。希望本文描述的指标能帮助您尽快找到最佳的特权访问管理解决方案。Gartner《2019 特权访问管理最佳实践》:https://www.gartner.com/en/documents/3899567【本文为专栏作者“李少鹏”原创文章,转载请通过安全牛获取授权(微信公众号id:gooann-sectv)】点此查看作者更多好文
