尽管很多组织都部署了 SIEM 和IDS 等安全基础设施,但是特权访问管理(PAM)依旧非常重要。PAM可以帮助组织充分利用其现有安全基础设施,对于关键系统和数据的保护至关重要。
特权访问可以创建、修改和删除IT基础设施,以及该基础设施中所承载的数据,可能带来灾难性风险。因此,管理特权访问是每个组织的关键安全功能。
正是因为PAM的重要性,PAM市场的发展势头强劲。根据Research Nester的数据,2024年PAM市场价值为34.9亿美元,预计到2037年将增长到429.6亿美元。
部署 PAM 解决方案是只是做好特权访问管理的第一步,如果不遵循一些特权访问管理最佳实践,组织仍可能容易受到攻击。
安全牛列举了10个特权访问管理最佳实践。这些实践可以帮助组织管理和保护对组织资源的特权访问,增强网络安全防御。
1.清点特权账户
维护一个全面且最新的特权账户清单可以降低安全漏洞的风险。
如果不了解网络内特权账户的数量和位置,会留下后门,内部人员或外部行为者可能利用这些后门绕过安全控制。有效的特权访问管理需要了解组织IT环境中所有具有提升访问权限的账户。
定期发现和接入特权账户,有利于提高对这些账户可能带来的潜在安全风险的可见性和控制。对所有特权账户及其权限进行编目和映射,包括它们在哪些资源中,谁使用它们以及如何使用。
2.选择正确的访问控制模型
在建立组织的访问控制时,要了解模型的优势和局限性,并检查它是否符合所在组织的规模、结构和网络安全需求。
如强制访问控制(MAC)和自主访问控制(DAC):MAC涉及基于数据机密性和用户许可级别由软件系统提供访问;而在DAC中,用户或组的访问权限由数据所有者定义。
此外,还可以考虑采用基于角色的访问控制(RBAC),它涉及将相关权限分配给用户角色;或基于属性的访问控制(ABAC),它基于用户和资源属性控制访问。
3.强化密码管理
密码使用严格的密码政策可以帮助组织最小化特权账户被滥用或泄露的风险。制定密码政策时,应要求用户使用复杂密码,包括字母、数字和特殊字符的混合。禁止使用默认、常见和容易猜测的密码。要求员工定期更新密码并禁止重复使用密码。密码管理解决方案可以帮助组织控制企业账户密码,确保一致的政策执行和增强的安全性。
使用多因素认证(MFA)增加了额外的安全层,以保护组织的敏感数据和关键系统。MFA要求用户在获得资源访问权限之前提供多个认证因素来验证其身份。即使密码被盗或泄露,攻击者也无法在没有额外认证因素的情况下访问账户。
为每个用户强制实施MFA可以帮助组织实施零信任原则。这是基于"永不信任,始终验证"的原则,是增强网络安全最有效的方法之一。
4.授予尽可能低的权限
最小权限原则断言,组织应该只授予用户执行其特定职责所需的最小访问权限。在整个组织中最小化用户权限可以减少攻击面并降低整体网络安全风险。
由于用户只能访问其工作所必需的资源,与权限滥用相关的风险就会减少。这有助于限制来自组织内外的攻击。
5.提供临时特权访问机制
根据即时特权访问管理(JIT PAM)方法,特权用户应该有正当理由访问敏感资源,并且访问时间应该有限。这确保用户有足够的时间使用资源,而不获得永久访问权。
JIT PAM可以确保组织内没有长期特权。制定描述哪些用户可以在什么条件下访问特定资源的政策,并建立请求、提供和撤销对这些资源的访问机制。
6.定期审查特权访问权限
随着员工角色或职责的变化,他们的访问权限也需要修改。在员工离职后立即撤销其访问权限。通过移除不必要的访问权限,组织可以最小化用户账户被泄露时的潜在损害。
定期审查特权访问权限,确保用户只保留执行当前工作职能所需的权限,有助于降低权限蔓延的风险,即用户随着时间积累不必要的访问权限,从而在组织中创造潜在的安全漏洞。
7.保护共享账户
许多组织使用共享账户和密码来简化系统访问管理。共享账户是多个个人使用相同登录凭证访问系统和资源的账户。它们缺乏问责制,因为很难将操作追溯到共享账户的特定用户。
通过密码管理器集中使用共享账户,提供签入和签出密码的能力,可以保护共享特权账户并确保个人问责制。记录共享特权账户中的用户活动也至关重要。
8.监控特权用户活动
监督特权用户活动对网络安全和合规性都至关重要。持续监控和记录特权用户的活动使组织能够识别潜在威胁,并在它们损害组织之前阻止它们。
实时或通过录制查看或观察特权用户会话,可以帮助组织了解员工和供应商是否负责任地处理敏感数据,并遵循信息安全政策。
在安全漏洞事件中,特权会话录制可帮助数字取证团队确定事件的根本原因,并确定可以改进哪些网络安全措施来防止类似情况再次发生。
9.采用自动化和自助服务
权限控制可能导致用户无法访问完成项目所需的数据,这时就需要利用自助式自动权限平台,从而让用户轻松请求并获得对所需资源的访问权限。管理员可以授予无限访问权限或为特定时间段授予一次性权限。这有助于在加强访问控制的同时保持凭证简化。
10.加强员工培训
每次制定新的网络安全政策时,确保明确向员工宣布并解释其重要性。信息充分的员工更有可能遵守信息安全协议,避免可能危及组织安全的风险行为。
定期进行网络安全意识培训,确保员工了解攻击者可能对组织使用的最新策略。这种培训可以帮助员工识别并及时检测攻击,有助于减轻安全威胁。
