特权访问管理(PAM)工具提供了一些重要的安全性和合规性优势,组织可以使用这些优势来构建业务案例。然而,利用这些优势可能会很复杂,因为它们中的大多数都是无形的。换句话说,这些好处是基于这个假设场景:如果发生安全漏洞,组织会付出什么代价?根据您组织所在的地区和行业,您可以计算从数据泄露中恢复的成本。特权访问管理通常被视为一种必要之恶,一种提高公司安全性和合规性所需的工具,但它几乎没有提供额外的价值。这种看法其实是一种误解。特权访问管理如何帮助企业提高投资回报率?除了无形的好处之外,特权访问管理还可以提供一些可衡量的好处,这些好处可以帮助证明对特权访问管理解决方案的投资是合理的。下面,我们将深入探讨特权访问管理技术可以通过多种方式为组织增加价值,以及它们如何更好地向业务领导展示安全投资回报(ROSI)。1.密码保管密码往往是最薄弱的环节。如果没有相应的管理工具,并且在用户之间共享,他们无疑会迅速失控。人们经常将密码写下来或将它们存储在受保护的电子表格中。因为它们很难与团队成员共享并且需要手动操作,所以用户往往不会经常更改密码。在PasswordVault中,凭据存储在受访问控制策略管理的安全加密位置。这是降低密码风险的第一步,但远非完整的解决方案。2.密码自动化即使密码存储在加密的保险库中并且适当的访问策略和流程到位,它们仍然是静态的。这意味着一些用户可能仍然会记录下来,或者复制并存储在别处。定期实施自动密码轮换有助于降低这种风险。3.非人类账户管理组织倾向于关注人类用户使用的账户和密码,例如管理员、开发人员和外部员工,因为人类用户会出错。人类用户很容易受到网络钓鱼和社会工程攻击、贿赂或威胁,有时甚至是不满意的雇主。然而,组织经常忽视用于指定服务、应用程序和机器对机器通信的帐户。这主要与更改它们的操作风险有关。在对一些高权限账户的具体分析中,我们发现大量的密码是十多年没有更改过的。究其原因,该公司表示,他们根本不知道更改密码会带来什么后果,换言之,更改密码的操作风险太大。即使他们了解风险,他们仍然不会更改这些密码。这些密码最终会被放入一个保险库中,但在此之前,它们都存储在安装文档的某个地方,这是另一个非常重要的案例。特权访问管理解决方案可以帮助控制这些帐户并定期轮换密码,而不会导致服务中断。攻击者知道密码通常是静态的,这就是为什么密码一直是他们攻击的目标。通常,由于操作风险,这些凭据没有设置过期日期或登录尝试失败,从而使基础架构容易受到攻击。4.第三方访问管理许多公司通过托管安全服务维护防火墙、虚拟专用网络(VPN),甚至整个IT基础设施。这些通常需要网络管理员授予外部各方访问IT基础设施的权限,通常具有高权限。现在,您可以强制执行特定的安全措施和策略,但无法控制或监控第三方IT环境。如果数据泄露发生在服务提供商处,而您的企业中发生一连串数据泄露怎么办?即使经济上的损失能够得到补偿,也无法挽回不良的舆论和声誉。大多数特权访问管理解决方案都提供会话管理功能,可将第三方访问与网络分开。您可以以不需要密码的方式实现它;密码是在会话启动和登录时填写的,第三方永远看不到。该方法确保问责制,记录详细的活动审计线索,同时允许安全团队在检测到可疑行为时终止正在进行的会话。5.会话管理刚才提到了第三方访问,那么你可能要考虑对自己的员工进行类似的访问限制。这种方法可以让员工的生活更轻松,因为他们不需要记住、存储和输入这些密码。此外,从审计的角度来看,您可以获得更丰富的信息,特别是如果会话被记录下来以便以后可以重播。6.避免漏洞一些与系统相关的漏洞可以通过密码轮换来避免。传递哈希攻击(PasstheHash)就是一个很好的例子。该漏洞可能允许攻击者连接到之前登录过受感染系统的其他系统。一个简单的密码更改就可以防止这种威胁。因为一旦更改了密码,哈希将不再正确。7.紧急访问提供在某些情况下,某些用户可能需要紧急访问系统;例如,当关键服务中断或常规管理员不可用时,需要紧急更改某些内容以恢复关键业务服务。在这些情况下,没有时间进行审批程序。特权访问管理解决方案可以强制相关方进行紧急访问。例如,您可以设置具有广泛访问权限的某些帐户,但在使用时,这些帐户会触发警报,以便从安全角度进行跟进。特权访问管理工具的另一个优势是审计跟踪。8.审计与合规目前有许多法规、标准和最佳实践。一般来说,它们有一个共同点:它们都需要实施变更程序,记录变更并证明变更过程符合相关程序。没有人会强迫一种工具或软件来做这件事。虽然不切实际、容易出错且不完整,但您可以根据需要跟踪对书面程序的更改。特权访问管理可以帮助执行程序、跟踪更改并记录相关数据以进行报告。降低成本的更多方法虽然上述方法已帮助您实现并展示了积极的投资回报率,但您可以通过以下更具体的方法间接节省成本。1.自动密码轮换虽然密码轮换一直是安全方面的良好做法之一,但它也可能需要满足特定的法规、标准和最佳实践。例如,《支付卡行业数据安全标准》(PCIDSS)要求用户每90天轮换一次密码,而美国国家标准与技术研究院(NIST)规定密码只有在怀疑存在数据泄露时才应过期。这两个标准在密码长度和复杂性方面有自己的特定要求。ISO27001也对密码的更新频率、长度和复杂度提出了相应的要求。英国的通信电子安全组(CESG)建议组织定期更改管理员密码,但他们目前并未强制执行此要求。无论您遵循哪个标准,关键是需求会随着时间而变化,因此组织需要适应标准。即使从监管或身份验证的角度来看,您不需要遵守标准,您仍然应该在使用后或定期更改高权限帐户的密码。您可以通过手动设置拆分密码来做到这一点,最好由双方共同完成。但即使你对管理员有信心,即使他们只需要一个人来做这件事,也需要花费大量的时间和金钱。这是一个成本高昂且容易出错的过程,每次法规发生变化时您都需要这样做。2.提高工作效率特权访问管理在提高工作效率方面具有双重作用。自动化会话管理和登录工具使员工能够更快、更轻松地访问系统和应用程序,从而节省时间和精力并提高工作效率。对于混合环境尤其如此。当您对外部各方使用会话时,他们知道他们将受到监视。虽然这种监控的初衷是为了提高安全性。通过监控,您还可以了解他们的工作效率,从而使他们能够高效地执行任务。3.减少管理员错误。如果服务中断一小时,你就会知道错误的平均成本是多少。您可能还知道一年平均发生多少次失误。当员工知道他们可以通过特权访问管理方案进行监控时,他们可能会更加清楚自己在做什么。如果您可以将人为错误率降低10%会怎样?4.数据泄露后的恢复想象一下:您发生了数据泄露,必须将系统恢复到较早的日期。此时您需要知道系统当时使用的密码。PrivilegedAccessManagement可以记录密码历史记录,以在恢复过程中为您提供帮助。如果发生数据泄露或可疑活动,您可能需要立即重置多个帐户的密码。如果您已经实施了特权访问管理方案和密码轮换,则只需启动一个任务即可实现。轮换密码有助于阻止或遏制正在进行的数据泄露。5.降低审计成本特权访问管理能够跟踪谁在使用哪些帐户对于问责制很重要,尤其是对于共享帐户。例如,您可以设置一个独占帐户,这样一次只有一个用户可以访问系统。通过将系统事件与当时在该系统上处于活动状态的用户相关联,您的安全信息和事件管理(SIEM)流程可以获得更多可见性并变得更有价值。借助会话和录音功能,您可以获得更详细的信息。不仅仅是用户做了什么,还有他们看到了什么。例如,如果用户连接到数据库并运行查询,您可以看到他们查看的查询结果。使特权访问管理成为您安全策略的核心下次您需要提供审计信息时,不要让单个员工花费数小时或数天的时间从各种系统收集所有信息、对其进行格式化并编写报告。特权访问管理可以帮助您做到这一点,提供您管理高价值账户所需的能力,为您的员工赋能,并让业务领导者放心他们的安全投资可以获得预期的回报。
