特权访问管理 (PAM) 由策略和技术组成,这些策略和技术用于对 IT 环境中经提升的用户、账户、进程和系统访问及权限(“特权”)施加控制。通过实现恰当的特权访问控制级别,PAM 帮助公司企业压缩其攻击界面,防止或者至少缓解来自外部攻击和内部人作恶或疏忽导致的破坏。
虽然特权管理包含多个策略,其核心目标却是实现最小权限,也就是将用户、账户、应用、系统、设备(如物联网设备)和计算过程的访问权限限制到仅供执行常规例程和授权行为所必需的最低限度。
PAM 极大改变了企业保护关键系统访问的方式。通过使用凭证保管库和其他会话控制工具,PAM 使管理人员能够在大幅降低泄露风险的情况下维护特权身份。而通过将特权凭证集中到同一个地方,PAM 系统可确保凭证的高安全等级,控制谁能访问凭证,记录所有访问并监视任何可疑活动。
行业领袖佛瑞斯特研究所 (Forester) 和 Gartner 公司均将特权管理列为 CISO 首要关注重点。他们做出这一判断毫不令人意外。PAM 保护公司特有的数字身份,这些身份若被盗,整个公司可能陷入完全停转状态。
特权凭证是极具吸引力的目标
正是特权账户存在本身引发了诸多事端。如果单个数字身份可赋予此类不受限制的访问,该身份暴露的后果就可能是灾难性的。黑客十分了解这一事实,所以超级用户是他们的主要目标。
因具有较高权限,可访问凭证信息,可更改设置,特权用户账户成了黑客重要的攻击目标。一旦被盗,公司运营有可能受到影响。实现 PAM 的账户类型可包括应急网络安全程序、本地管理员、微软活动目录 (AD) 、应用或服务,以及域管理员账户。
过去几年的攻击事件来看,攻击者不再 “黑” 进公司以寻求数据泄露;他们利用弱凭证、被盗凭证或被泄凭证。一旦进入企业网络,他们会在网络上扩散和横向移动,搜寻可帮他们获得企业关键基础设施及敏感数据的特权账户与凭证。
74% 的数据泄露涉及特权凭证滥用
佛瑞斯特研究所估计,尽管网络安全预算不断增长,80% 的安全事件涉及特权访问滥用,66% 的公司企业平均被入侵 5 次或更多次。一份新的调查支持佛瑞斯特研究所的估测,发现遭遇数据泄露的公司中 74% 承认涉及特权账户访问。
更令人担忧的是,该调查研究发现,大多数公司企业仍在授出太多信任与权限,并未重视 PAM 也未有效实现 PAM。从业者应将 PAM 等关键基础安全控制视为数字转型驱动器。然而,公司企业并未采取最基本的措施来保护特权凭证。
- 超半数受访者 (52%) 根本没有密码保管库。
- 65% 至少经常共享系统和数据的 root 账户或特权访问。
- 超过 1/5 (21%) 的受访者仍未部署特权管理访问权限的多因子身份验证。
除了没实现基本 PAM 解决方案,很多公司企业还没实施可减少风险的基本策略和过程。比如说,63% 的受访者指出,其公司撤销离职人员的特权访问通常需要一天以上的时间,期间公司暴露在暗网售卖特权访问凭证等报复性利用的风险之下。
数字转型改变了企业业务运营的方式,创建了无边界环境,特权访问不再适用于网络内系统和资源。特权访问应覆盖基础设施、数据库和网络设备、云环境、大数据项目、DevOps 和容器或微服务。此外,高级持续性威胁 (APT) 为企业的金融资产、知识产权和声誉带来了持续增加且不断变化的风险。
调查发现,受访者并未给予此新风险态势应有的重视,仅在有限的现代用例上控制了特权访问。
- 45% 的受访者未以特权访问控制措施保护公共和私有云工作负载。
- 58% 未以特权访问控制保护大数据项目。
- 68% 未以特权访问控制保护集线器、交换机和路由器等网络设备。
- 72% 未以特权访问控制保护容器。
特权访问的另一个问题是,很多应用并未预留 PAM 解决方案集成接口——即便 Gartner 《2018 PAM 魔力象限》报告显示,采用规范变更管理过程的公司企业中 40% 计划在 2020 年嵌入或集成 PAM 工具以减小其风险界面。
- 佛瑞斯特研究公司的身份与权限管理报告:https://www.forrester.com/report/Making+The+Business+Case+For+Identity+And+Access+Management/-/E-RES80481
- Gartner PAM 项目:https://solutionsreview.com/identity-management/why-pam-is-gartners-top-it-security-project-for-2019/
- Centrify 调查:https://www.centrify.com/resources/centrify-privileged-access-management-in-the-modern-threatscape-2019/
- Gartner 《2018 PAM 魔力象限》报告:https://www.gartner.com/en/documents/3894154
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】