特权访问管理(PAM)有助于在复杂的混合基础架构中进行管理访问。PAM 可让您通过身份驱动型安全控制来识别和管理特权身份,并应用动态策略来反映实时访问要求。监控特权活动可降低违规风险,并支持治理和合规计划。
OpenText™
通过NetIQ Access Manager,您可以:
在NetIQ 身份与访问管理团队,我们相信 "身份为安全提供动力"。它应该成为您决策的核心。从权限发现、最小权限授权和凭证保险库,到变更监控和活动跟踪,我们无所不包。关键在于身份,这对我们所做的一切都至关重要。
联系我们拥有特权身份的用户通常对关键数据、系统或敏感信息拥有某种形式的管理访问权限。这类身份包括员工、顾问、合作伙伴、客户,但也可以是应用程序、服务、事物和设备。
最少特权原则是指只授予身份运作所需的权利和特权。我们需要一种简单、集中的方式来管理和保护特权凭证,同时还需要灵活的控制措施来平衡网络安全和合规要求与操作和最终用户要求。
特权用户或账户授予的访问权限和特权超过非特权账户。特权用户包括 IT 经理/总监、系统/数据库或应用程序管理员、开发/工程、审计员或顾问、C 级或其他高管。这些用户因其传统、技能或角色而拥有更大的访问权限。
据专家估计,多达一半的安全漏洞都是由于内部活动造成的。当员工的访问权限高于需要时,内部威胁就尤为严重。
无论权限滥用是由于员工的失误还是网络犯罪分子利用内部人员的凭证访问 IT 网络所为,您都可以通过密切控制和监控超级用户和数据库管理员等特权用户的访问权限来对这一风险进行最佳管理。
混合云、移动性、大数据、CIAM、物联网和数字化转型等趋势都带来了复杂性、新威胁和权限风险。现在,身份已不仅仅是人--它们也可以是设备或事物--所有身份都有某种形式的权限。
每天,IT 部门都会以提高工作效率为名向身份授予更高的权限,从而导致围绕特权访问的三种风险:外部威胁、内部威胁和违规。所有这些类型的账户都很脆弱,因为它们可以访问关键系统和信息,这反过来又会使公司面临风险。
外部威胁
老练的黑客会将网络钓鱼攻击的目标对准那些拥有较高访问权限的人员--能够访问财务、知识产权、客户数据、配方、生产流程等的高管、系统管理员、网络管理员、工程师和安全人员。黑客或威胁猎手可能不知道哪些身份可以访问哪些内容,但他们会主动搜索隐藏在任何网络中的安全风险。获得特权用户凭证的攻击者可以潜伏数月而不被察觉,同时了解公司的系统并决定窃取什么。经验丰富的黑客还有可能入侵无主或有权限的设备/物品,以获得管理访问权限。他们可以窃取整个数据库的内容,并轻松删除日志以隐藏其活动。
内部威胁
企业还必须防范内部威胁,包括恶意和意外威胁。无论用户是否有意为之,如果他们获得或窃取了具有较高访问权限的凭证,就会很容易造成网络瘫痪、机密信息泄露等问题,从而可能导致组织损失数百万美元的生产力、收入损失和合规性罚款。已知有员工或承包商实施恶意行为的案例,但大多数情况都是人为错误或粗心大意造成的。如果公司不提供良好的用户体验,不在正确的时间提供正确的访问权限,即使是技术高超、值得信赖的特权用户也会想方设法完成工作,有时甚至会以牺牲安全为代价。企业必须知道谁或什么拥有特权,并控制他们可以做什么,以最大限度地减少影响。
违规风险
围绕数据访问有许多现有的合规标准,如 GDPR、HIPPA 和 PCI,预计未来几年还会有更多标准出台。这些法规大多是描述性的,而不是规定性的,这就导致政策的实施需要进行解释。如果政策可以随意解释,就必然会带来风险。政策的规范化可确保合规战略中的安全和身份管理部分得到满足。随着合规性和内部治理要求不断变得更加严格,审计工作也更加艰巨,企业也面临着压力,需要在保持员工工作效率和执行基于身份的安全控制之间取得平衡。许多企业都在寻求速赢,以减轻其组织所面临的风险,并能够向审计人员证明他们已经实施了必要的标准。
企业最重要的资产必须受到特权身份和访问策略的保护,以便让正确的人在正确的时间访问。大多数组织忽视特权问题,不知道从何入手,或者只使用手动流程。
IT 领导者意识到,降低风险最快捷、影响最大的方法之一就是更好地管理特权身份(又称超级用户)。大多数泄密事件都与获取特权凭证有关,因为特权凭证提供了对系统和数据的无限访问权限,造成了重大的安全和合规问题。有效管理那些有能力恶意或意外造成最大危害的用户的访问权限,是确保组织安全的合理步骤。
大多数违规行为都涉及获取特权凭据,因为这些凭据提供了对系统和数据的无限访问权限,造成了重大的安全和合规问题。
尽管特权账户是必须具备的,但它们却很难管理,因为本地工具很少能够正确管理。特权身份在企业中随处可见,而安全标准几乎在每种情况下都不尽相同。你会在应用程序、服务、服务器、数据库、设备、事物等中发现特权。
对特权账户的用户、依赖关系和活动也缺乏深入了解。通常情况下,特权由多人共享,IT 部门几乎不可能对任何人采取的行动负责。此外,大多数企业无法将现有的身份验证或授权策略扩展到 Linux 或 UNIX 等平台或云服务。
为了最大限度地降低与特权相关的风险,企业必须克服几个挑战,包括管理、保护和减少所有特权访问。
管理特权凭证
许多 IT 组织依赖人工、密集且容易出错的管理流程来管理特权凭证的访问。这种方法效率低、风险大、成本高。在复杂的混合环境中,发现每一个拥有高级权限的身份都很困难,有时甚至几乎不可能。例如,使用最广泛的操作系统 Microsoft Windows 允许使用服务账户,这些账户由系统和应用程序而非人员运行。
账户不仅仅是人的账户。它们可以由系统、设备或机器中的物联网传感器持有。任何可以访问关键系统的账户都是特权账户,有时特权账户在其必须访问的每个系统(Windows、Linux、UNIX 等)中都是重复的。虽然拥有大量特权账户是正常的,但大多数组织拥有的特权账户远远超出了它们的需要。此外,随着身份的变化,重新分配访问权限的流程并不总是得到遵守。
许多企业甚至没有意识到他们拥有多少特权账户,或者他们拥有的空账户或孤儿账户正等待着被利用。OpenText™ NetIQ™ Privileged Account Manager(特权账户管理器)安全灵活的解决方案可在任何混合 IT 环境中轻松实现对管理员账户的集中管理。.
确保角色和责任
在复杂的混合环境中,权限管理策略的实际实施是一个巨大的挑战。随着企业的发展壮大,他们发现自己的系统无法提供必要的访问控制,而企业在扩展时需要对特权用户进行访问控制。如果不能以一致有效的方式自动执行,即使有再好的流程和策略也无济于事。
为了帮助满足合规性和治理要求,大多数组织都必须实施适应性访问控制,因为它们面临着一种叫做 "特权蠕变 "的问题。这种情况发生在人们改变了组织内的角色,但新的权限只是被扩大以反映当前的需求,而不是删除那些不再需要的权限。
企业往往难以有效控制特权用户对云平台、SaaS 应用程序、社交媒体等的访问,从而造成合规风险和操作复杂性。对任何特权用户都必须采用最小特权原则。
共享密码或为关键系统提供过多的 root 级访问权限会扩大攻击面,增加系统复杂性,使入侵者更难发现。大多数用户只需要一部分管理权限就能完成工作,但由于本机工具可能不允许进行细粒度控制,用户默认情况下会获得全部管理权限。这意味着他们现在拥有的权限超过了他们的需要--造成不必要的风险和潜在的合规噩梦。
减少和跟踪特权活动
一旦控制到位,企业就需要跟踪特权活动,并在身份的整个生命周期内对其进行监控,以识别潜在威胁、实时补救威胁并确保无缝审计。由于访问要求会随着时间的推移而变化,而且新身份也在不断配置,因此尝试手动完成这项工作会容易出错、耗费时间,而且几乎无法管理。这不是管理特权身份的高效或可持续方式,尤其是对于拥有复杂混合环境的大型 IT 组织而言。
许多组织将定期证明或访问认证作为其内部身份管理策略的一部分,但这些通常也是 IT 部门的手动流程。而且它们很可能没有跟踪和记录所有特权活动。
企业需要一种方法来捕捉滥用特权的行为并立即加以制止,而不是等到审计或事故发生后才开始调查。每个组织都必须制定一项战略,跟上特权访问的步伐,以最大限度地降低网络事故、内部和外部审计失败、违规罚款以及外泄风险。
所有这些挑战都可能引发痛苦的审计,或为入侵者提供可乘之机。组织必须有能力自动识别权限过高的人员,并在不再需要时撤销或调整权限。
管理那些有可能恶意或意外危害组织的用户的访问权限,是确保组织安全的关键。您可以通过以下步骤降低风险和复杂性:发现、控制和监控。
获取特权身份及其依赖关系的全面基线
管理权限的第一步是了解哪些身份(用户、服务、设备、事物等)拥有高级访问权限以及存在哪些依赖关系,这样就能深入了解简化和实施策略所需的信息。发现特权身份及其依赖关系,建立特权身份基线。
发现特权账户和服务
在您的环境中,谁拥有应用程序和服务的高级权限?您是否因为管理员过多而面临审计失败的危险?
确定所有依赖关系
我的所有特权身份之间或服务之间是如何相互依赖的?如何确保在清理或简化过程中不中断服务?
检测非必要组策略或孤儿组策略
您是否有无主账户或组策略?
实施身份授权特权管理以降低风险
通过实施由身份驱动的权限管理,控制可降低风险--根据属性实时调整权限。最少权限 "原则确保每个人和每件事都有足够的权限完成工作(不多不少)。
检测更改并跟踪权限活动,以支持管理和合规性
识别变更并跟踪权限活动,以支持管理和合规性。一旦控制到位,在整个身份生命周期内监控变更和权限活动,以识别潜在威胁并确保管理和合规性。
监控未经授权的更改
如何发现政策之外的更改?当发生未经授权的更改时,你会收到警报吗?
识别威胁并关闭访问
能否实时识别特权滥用?一旦发现滥用特权的情况,如何采取措施?
为审计员生成报告
您能否访问权限用户所有活动的日志?完成验证报告的难度如何?
在整个 IT 环境中集中控制管理员账户
在移动、云和传统平台上实现单点登录和访问控制
以最少的摩擦向正确的用户提供正确的访问权限