特權(quán)賬號,通往企業(yè)數(shù)據(jù)大門的“鑰匙”。
它權(quán)限大,具有高危命令或操作的執(zhí)行權(quán)限;
破壞性強(qiáng),操作可能影響他人使用或其他系統(tǒng)故障;
信息泄露風(fēng)險(xiǎn)大,操作可能獲取別人或其他系統(tǒng)相關(guān)隱私信息;
操作者不完全可信,尤其是人......
這樣的“鑰匙”,如果在企業(yè)內(nèi)部無處不在,且管理隨意,內(nèi)外部人員不僅都能輕易拿到“鑰匙”;打開門后,更是如入“無人之境”。結(jié)果會怎樣?企業(yè)又該怎么管?
1.
無處不在的特權(quán)賬號 管理難
事實(shí)上,特權(quán)賬號在企業(yè)內(nèi)部確實(shí)無處不在。從操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等,企業(yè)IT環(huán)境中覆蓋著各種各樣的特權(quán)賬號。據(jù)有關(guān)調(diào)查顯示,企業(yè)特權(quán)賬號可能是員工人數(shù)的10倍,這個(gè)倍數(shù)還在不斷增長!
隨著云、DevOps、機(jī)器人流程自動(dòng)化、IoT等技術(shù)的發(fā)展與普及,企業(yè)需要特權(quán)訪問的機(jī)器和應(yīng)用程序數(shù)量更是不斷激增。這些非人類實(shí)體的特權(quán)賬號不僅數(shù)量遠(yuǎn)遠(yuǎn)超過典型組織中的人數(shù),而且難監(jiān)控,甚至根本無法識別......
這些都在不斷加劇著企業(yè)特權(quán)賬號的管理難度,并增大了企業(yè)安全攻擊面。
2.
管理隨意的特權(quán)訪問 隱患大
除了特權(quán)賬號本身特質(zhì)帶來的安全危機(jī)以外,很多企業(yè)在特權(quán)賬號與特權(quán)訪問管理上的不規(guī)范性與隨意性,更是企業(yè)安全隱患的罪魁禍?zhǔn)住?/strong>
眾所周知,企業(yè)特權(quán)賬號往往具備共享性,即企業(yè)多個(gè)管理員共享同一賬號。這樣的管理現(xiàn)狀使得企業(yè)很難跟蹤和控制每個(gè)人的操作;
其次,特權(quán)賬號經(jīng)常被共享、跨系統(tǒng)使用,為便于記憶常使用弱密碼或默認(rèn)密碼,因此更容易被盜。同時(shí),很多企業(yè)還存在大量閑置或廢棄賬號,給企業(yè)安全埋下嚴(yán)重隱患。
此外,權(quán)限濫用是另一個(gè)嚴(yán)重風(fēng)險(xiǎn)。一些員工可能超越其職責(zé)范圍,獲取不必要的特權(quán)訪問權(quán)限,從而濫用這些權(quán)限進(jìn)行非法活動(dòng);
審計(jì)監(jiān)控不足也是一個(gè)問題。有的企業(yè)缺乏對特權(quán)訪問的全面監(jiān)控和審計(jì)措施,很多惡意行為可能會長期存在且不被發(fā)現(xiàn)......
3.
層出不窮的安全事件 破壞強(qiáng)
類似因特權(quán)賬號與訪問管理的不規(guī)范與隨意,導(dǎo)致的安全事件層出不窮。
例如,某電商平臺,程序員私登平臺,代碼被刪除事件;某微信小程序頭部服務(wù)商遭“刪庫”系統(tǒng)宕機(jī),影響百萬小微商戶登錄故障事件;某人壽公司現(xiàn)內(nèi)鬼,致公民信息泄露事件......
一項(xiàng)權(quán)威數(shù)據(jù)調(diào)查也顯示,80%的數(shù)據(jù)泄漏事件與失竊的特權(quán)賬號或憑證有關(guān)!Forrester Research則顯示,80%以上的網(wǎng)絡(luò)安全事件與特權(quán)賬號濫用有關(guān)。而國際權(quán)威機(jī)構(gòu)Gartner更是連續(xù)兩年將特權(quán)訪問管理列在Gartner的10大安全項(xiàng)目之首。
4.
特權(quán)賬號與訪問管理 怎么管?
那么,問題來了。企業(yè)要如何掌控內(nèi)部無處不在的特權(quán)賬號,并在此基礎(chǔ)上,實(shí)現(xiàn)特權(quán)賬號與訪問管理的安全管控與全局監(jiān)控?
這里就不得不提及派拉軟件特權(quán)訪問管理(PAM)平臺。據(jù)了解,派拉軟件PAM平臺可以幫助企業(yè)主動(dòng)發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源(如服務(wù)器、數(shù)據(jù)庫、硬件設(shè)備、虛擬化平臺、云平臺、三方服務(wù)等)的賬號分布、識別賬號風(fēng)險(xiǎn)、管理賬號使用與訪問控制,為企業(yè)構(gòu)建特權(quán)賬號統(tǒng)一管理、統(tǒng)一調(diào)度的基礎(chǔ)平臺,實(shí)現(xiàn)特權(quán)賬號安全管理與全局監(jiān)控。
賬號統(tǒng)管
企業(yè)通過派拉軟件PAM平臺,自動(dòng)化快速掃描發(fā)現(xiàn)所有資產(chǎn),以及資產(chǎn)上的所有賬號,并識別出其中的特權(quán)賬號;在摸清企業(yè)各資產(chǎn)特權(quán)賬號基礎(chǔ)上,梳理所有特權(quán)賬號的使用方、權(quán)限范圍、所屬關(guān)系、風(fēng)險(xiǎn)情況等,評估特權(quán)賬號更新的影響面,形成各屬性完整清晰的企業(yè)資產(chǎn)與特權(quán)賬號清單,利用可視化技術(shù)手段與BI數(shù)據(jù)分析技術(shù),形成多維度的特權(quán)賬號畫像與分析,為后續(xù)的特權(quán)賬號與訪問管理安全提供基礎(chǔ)。
風(fēng)險(xiǎn)分析
在特權(quán)賬號梳理過程中,PAM平臺還能自動(dòng)識別分析其中存在的風(fēng)險(xiǎn)賬號,如僵尸賬號、幽靈賬號、無效賬號、長期為改密賬號、弱密碼賬號等,減輕系統(tǒng)管理員負(fù)擔(dān)。平臺集成了200W+弱密碼庫,自定義弱密碼,實(shí)時(shí)驗(yàn)證。針對這些風(fēng)險(xiǎn)賬號,PAM平臺還可以直接關(guān)聯(lián)會話,直達(dá)審計(jì)入口。在賬號訪問過程中,平臺還將持續(xù)檢測納管設(shè)備訪問來源,及時(shí)發(fā)現(xiàn)非可信訪問來源,并第一時(shí)間告警通知。
用戶管理
在用戶管理上,派拉軟件PAM平臺將人員與特權(quán)賬號進(jìn)行分離,即賦予不同人員相應(yīng)的唯一身份,當(dāng)需要使用特權(quán)賬號時(shí),管理員可以通過登錄自己賬號,并根據(jù)提前設(shè)置好的特權(quán)賬號訪問規(guī)則進(jìn)行登錄使用,為確保訪問人的可信,還會增強(qiáng)身份認(rèn)證,以確保訪問源的可信。這種增加一級用戶管理的方式,可以讓過去共享的特權(quán)賬號擺脫人為不安全管控。
密碼管理
為擺脫過去弱密碼、長期不改密等現(xiàn)狀,派拉軟件PAM平臺提供了密碼集中管理,通過定制化密碼策略,并按照策略要求,如不同賬號類別與資產(chǎn)重要程度不同,設(shè)置不同密碼更新流程與策略等,實(shí)現(xiàn)自動(dòng)、集中、定期修改系統(tǒng)賬號密碼。
權(quán)限管理
在特權(quán)訪問過程中,平臺基于最小化權(quán)限原則,進(jìn)行權(quán)限分配,即限定什么人,在什么時(shí)間段,使用什么源IP,以什么樣的身份,以什么樣的方式,訪問哪個(gè)目標(biāo)資源,可以使用哪些操作(命令),過程中還將實(shí)時(shí)監(jiān)控,并及時(shí)進(jìn)行會話阻斷。此外,針對賬號的權(quán)限分配、權(quán)限回收、權(quán)限審計(jì)和權(quán)限的周期性評估等權(quán)限全生命周期進(jìn)行流程規(guī)范化、自動(dòng)化管理。
安全審計(jì)
平臺結(jié)合流程管理,保留特權(quán)賬號創(chuàng)建、分配、變更、刪除整個(gè)過程的信息,從而知道什么時(shí)間,哪些賬號給了哪些人,每個(gè)人擁有什么樣的賬號等,以便后續(xù)審計(jì)。在安全審計(jì)上,平臺提供多樣化的會話監(jiān)控與安全審計(jì),實(shí)施全面的賬號監(jiān)控和審計(jì)機(jī)制,實(shí)時(shí)記錄和監(jiān)控管理員的特權(quán)訪問行為,實(shí)時(shí)檢測和響應(yīng)任何異?;顒?dòng)或潛在的安全威脅。
未來,正如Gartner分析師所預(yù)測,下一代PAM解決方案可能會整合更高級的功能,比如行為分析和預(yù)測風(fēng)險(xiǎn)評分,從而進(jìn)一步提高特權(quán)賬戶的安全性。派拉軟件PAM平臺也在持續(xù)升級中,敬請期待!