什麼是特權存取管理?
概述
特權存取管理 (PAM) 可透過保護和控制混合環境中的管理存取,保護您的關鍵基礎架構。透過啟用身分驅動的安全控制,PAM 可確保即時存取政策符合動態的業務需求。透過持續監控和智慧型權限管理,它有助於降低安全風險、加強治理並簡化合規性。
特權存取管理
什麼是特權身份?
具有特權標識的使用者通常對關鍵數據、系統或敏感資訊具有某種形式的管理訪問許可權。此類型的標識包括員工、顧問、合作夥伴、客戶,但它們也可以是應用程式、服務、事物和設備。
什麼是最小特權原則 (POLP)?
最小特權原則是指僅授予身份運行所需的許可權和特權。需要一種簡單、集中的方式來管理和保護特權憑據,以及靈活的控制措施,以平衡網路安全和合規性要求與運營和最終使用者要求。
誰是特權使用者?
特權使用者或帳戶所授予的存取權和特權超過非特權帳戶所授予的存取權和特權。特權使用者包括 IT 經理/主管、系統/資料庫或應用程式管理員、開發/工程、稽核或顧問、C 級或其他主管。這些使用者因遺傳、技能或角色而擁有較大的存取權限。
在管理特權訪問時不合規會帶來哪些威脅和風險?
專家估計,多達一半的安全漏洞是由於內部活動造成的。當與具有比所需訪問許可權更高的員工相關聯時,內部威脅尤其嚴重。
無論許可權濫用是由於員工錯誤造成的,還是網路犯罪分子利用內部人員的憑據訪問您的 IT 網路所為,您都可以通過密切控制和監控特權使用者(如超級使用者和資料庫管理員)對其訪問許可權的操作來最好地管理此風險。
混合雲、移動性、大數據、CIAM、物聯網和數位化轉型等趨勢都帶來了複雜性、新威脅和特權風險水準。身份現在不僅僅是人——它們也可以是設備或事物——所有身份都有某種形式的特權。
每天,IT 部門都會以提高生產力為名,賦予各種身分較高的權限,導致圍繞特權存取的三種風險:外部威脅、內部威脅和違規。所有這些類型的帳戶都很容易受到攻擊,因為他們可以存取關鍵系統和資訊,進而使公司面臨風險。
外部威脅
狡猾的駭客將網路釣魚攻擊指向那些擁有更高訪問許可權的人,包括高管、系統管理員、網路管理員、工程師和安全人員,他們有權訪問財務、智慧財產權、客戶數據、配方、製造流程等。駭客或威脅獵人可能不知道哪些身份可以訪問哪些身份,但他們會主動搜索隱藏在任何網路中的安全風險。 獲得特權使用者憑據訪問許可權的攻擊者可以在學習公司系統並決定竊取什麼時潛伏數月而不被發現。有經驗的駭客也有可能入侵孤立或特權設備/事物以獲得管理訪問許可權。他們可以竊取整個資料庫的內容,並輕鬆刪除日誌以隱藏其活動。
內部威脅
組織還必須防範內部威脅,包括惡意威脅和意外威脅。無論他們是否有意,獲得或竊取具有提升訪問許可權的憑據的使用者都可以輕鬆關閉網路、暴露機密資訊等,這可能會使組織損失數百萬美元的生產力、收入損失和合規罰款。有已知的員工或承包商進行惡意行為的案例,但大多數情況是人為錯誤或粗心大意的結果。如果公司不能在正確的時間提供良好的用戶體驗和正確的訪問許可權,即使是技術含量高且受信任的特權使用者也會找到完成工作的方法,有時甚至會以犧牲安全性為代價。組織必須知道誰或什麼擁有特權,並控制他們可以做些什麼來最大程度地減少影響。
不合規風險
目前已有許多關於資料存取的法規遵循標準,例如 GDPR、HIPAA 和 PCI,而且預計未來幾年還會有更多標準推出。這些法規大多是描述性的,而非規範性的,導致政策的執行有許多解釋的空間。當政策可以自由詮釋時,必然會讓您面臨風險。政策的規範化可確保符合法規遵循策略中的安全性與身分管理部分。由於法規遵循與內部治理要求持續變得更加嚴格,稽核也更加嚴苛,組織也受到壓力,必須在保持員工生產力與強制執行以身分為基礎的安全控制之間取得平衡。許多組織都在尋求速效方案,以降低組織所面臨的風險,並能向稽核人員證明他們已實施必要的標準。
組織中最重要的資產必須受到特權標識和訪問策略的保護,這些特權標識和訪問策略使正確的人員能夠在正確的時間進行訪問。大多數組織忽略了許可權問題,不知道從哪裡開始,或者只使用手動流程。
為什麼特權存取管理很重要?
IT 領導者意識到,降低風險的最快、最有效的方法之一是更好地管理他們的特權身份(又稱超級使用者)。大多數違規行為都涉及獲取對特權憑據的訪問許可權,因為它們提供對系統和數據的無限制訪問,從而造成重大的安全性和合規性問題。有效地管理那些能夠造成最大傷害(惡意或意外)的使用者的訪問是保護其組織的合乎邏輯的步驟。
如何提供對特權用戶活動的可見性和控制?
大多數違規行為都涉及訪問特權憑據,因為它們提供對系統和數據的無限制訪問,從而造成重大的安全性和合規性問題。
儘管特權帳戶是必須擁有的,但它們很難管理,因為本機工具很少能夠正確地做到這一點。特權標識在組織內隨處可見,安全標準在幾乎每種情況下都不同。您將在應用程式、服務、伺服器、資料庫、設備、事物等中找到特權。
此外,還缺乏對特權帳戶中的用戶、依賴項和活動的深入瞭解。通常,許可權由多人共用,這使得IT幾乎不可能讓任何人對所採取的行動負責。此外,大多數組織無法跨平臺(如 Linux 或 UNIX)或雲服務擴展其現有的身份驗證或授權策略。
為了最大程度地降低與特權相關的風險,組織必須克服幾個挑戰,包括管理、保護和緩解所有特權訪問。
管理特權憑據
許多IT組織依靠手動、密集且容易出錯的管理流程來管理特權憑據的訪問。這是一種低效、高風險且成本高昂的方法。在複雜的混合環境中,發現每個具有更高權利的身份可能很困難,有時甚至幾乎不可能。例如,Microsoft Windows是使用最廣泛的作業系統,它允許您擁有服務帳戶,這些帳戶由系統和應用程式運行,而不是由人員運行。
帳戶不僅適用於人們。它們可以由機器中的系統、設備或物聯網感測器固定。任何有權訪問關鍵系統的東西都是特權帳戶,有時特權帳戶在它們必須訪問的每個系統(Windows、Linux、UNIX 等)中都是重複的。雖然擁有大量特權帳戶是正常的,但大多數組織擁有的特權帳戶遠遠超過他們需要的許可權。此外,隨著標識的更改,並不總是遵循重新預配訪問許可權的流程。
許多組織甚至沒有意識到他們有多少個特權帳戶,或者他們有一些空帳戶或無主帳戶,正等著被利用。 OpenText™ Privileged Access Manager安全、靈活的解決方案可輕鬆地在任何混合 IT 環境中集中管理管理帳戶。.
保護角色和職責
在複雜的混合環境中,特權管理策略的實際實施是一個巨大的挑戰。隨著組織的發展,他們發現他們的系統無法提供組織在擴展時圍繞特權使用者所需的必要訪問控制。如果您不能以一致有效的方式自動執行,那麼即使是最好的流程和策略也無關緊要。
為了説明滿足合規性和治理要求,大多數組織必須實施自適應訪問控制,因為它們面臨著所謂的“許可權蠕變”。當人們在組織內更改角色時,就會發生這種情況,但新許可權只是擴展以反映當前需求,而不是刪除不再需要的許可權。
組織通常難以有效控制特權使用者對雲平臺、SaaS 應用程式、社交媒體等的訪問,從而產生合規性風險和運營複雜性。將最小許可權原則應用於任何特權使用者非常重要。
共享密碼或對關鍵系統提供過多的根級訪問許可權會擴大攻擊範圍並增加系統複雜性,使入侵者更難被發現。大多數使用者只需要管理許可權的子集即可完成其工作,但由於本機工具可能不允許精細控制,因此默認情況下,使用者將獲得完全管理許可權。這意味著他們現在擁有的許可權超出了他們的需要,從而產生了不必要的風險,並可能成為合規性的噩夢。
緩解和跟蹤特權活動
控制措施到位后,組織需要跟蹤特權活動,並在標識的整個生命週期中對其進行監視,以識別潛在威脅、即時修正威脅並確保無縫審核。嘗試手動執行此操作可能容易出錯、耗時且幾乎無法管理,因為訪問要求會隨著時間的推移而變化,並且會不斷預配新標識。這不是管理特權標識的有效或可持續方法,尤其是對於具有複雜混合環境的大型IT組織而言。
許多組織將定期證明或訪問認證作為其內部身份治理策略的一部分,但這些通常也是IT的手動流程。而且他們很可能沒有跟蹤和記錄擁有特權活動。
組織需要一種方法來發現濫用許可權並立即阻止它,而不是等到審計或事件發生後才開始調查。每個組織都必須制定策略來跟上特權訪問的步伐,以最大程度地降低網路事件、內部和外部審計失敗、不合規罰款以及違規風險增加的風險。
所有這些挑戰都可能引發痛苦的審計,或者為入侵者提供理想的利用機會。組織必須能夠自動識別特權過高的人,並在不再需要特權時撤銷或調整特權。
有哪些特權存取管理最佳實作?
管理有可能惡意或意外傷害組織的使用者存取權限,是確保組織安全的關鍵。您可以遵循以下步驟來降低風險和複雜性:發現、控制和監視。
發現特權標識
獲取特權標識及其依賴項的全面基線
管理許可權的第一步是瞭解哪些身份(使用者、服務、設備、事物等)具有提升的訪問許可權以及存在哪些依賴項,以便您獲得簡化和實施策略所需的見解。發現特權標識及其依賴項,以建立特權標識的基線。
發現特權帳戶和服務
誰和什麼人提升了對環境中應用和服務的許可權?您是否因為管理員太多而面臨審核失敗的危險?
識別任何和所有依賴項
我的所有特權身份如何相互依賴或相互依賴?如何確保在清理或簡化過程中不會關閉服務?
檢測非必要或孤立的組策略
您是否有孤立帳戶或組策略?
控制許可權
實施基於身份的特權管理以降低風險
通過實施基於身份的許可權管理,控制可以降低風險 - 應用策略根據屬性即時調整許可權。“最小特權”原則確保每個人和每件事都有足夠的許可權來完成他們的工作(不多也不少)。
- 您是否有能力實現最小許可權委派?
- 您是否具有AD橋接功能,可以將身份驗證擴展到Windows和雲資源?
- 是否希望通過憑證保管庫消除硬編碼的使用者名和密碼?
- 是否可以對特權訪問進行多重身份驗證?
- 您是否採用自適應屬性配置?
- 如何處理特權會話管理?
- 組策略管理呢?如何處理 Office 365 許可證設置?
- 您是否需要 UNIX 根委派?
- 您如何使用「立即工作」自動化處理特權訪問?
監視特權活動
檢測更改並跟蹤特權活動,以支援治理和合規性
識別更改並跟蹤許可權活動以支援治理和合規性。控制到位后,在整個標識生命週期中監視更改和許可權活動,以識別潛在威脅並確保治理和合規性。
監視未經授權的更改
您如何發現在政策之外所做的更改?當進行未經授權的更改時,您會收到警報嗎?
識別威脅並關閉訪問許可權
你能實時識別濫用特權嗎?一旦發現特權濫用,您如何採取措施?
為審計員生成報告
您可以存取權限使用者的所有活動紀錄嗎?完成證明報告的難易程度如何?
為什麼選擇OpenText 來進行特權存取管理?
- 行之有效的發現、控制和監控方法
- 了解整個特權標識生命週期
- 我們的 ActiveView 模型具有無與倫比的許可權粒度
- 支援系統和應用的廣泛性
- 更好的非侵入式特權會話監控體驗
- 安全、高效且一致的內置工作流自動化
- 跨混合環境的單一供應商覆蓋
- 減少審計和證明報告所需的時間
