特权账号,通往企业数据大门的“钥匙”。
它权限大,具有高危命令或操作的执行权限;
破坏性强,操作可能影响他人使用或其他系统故障;
信息泄露风险大,操作可能获取别人或其他系统相关隐私信息;
操作者不完全可信,尤其是人......
这样的“钥匙”,如果在企业内部无处不在,且管理随意,内外部人员不仅都能轻易拿到“钥匙”;打开门后,更是如入“无人之境”。结果会怎样?企业又该怎么管?
1.
无处不在的特权账号 管理难
事实上,特权账号在企业内部确实无处不在。从操作系统、数据库、网络设备、应用系统等等,企业IT环境中覆盖着各种各样的特权账号。据有关调查显示,企业特权账号可能是员工人数的10倍,这个倍数还在不断增长!
随着云、DevOps、机器人流程自动化、IoT等技术的发展与普及,企业需要特权访问的机器和应用程序数量更是不断激增。这些非人类实体的特权账号不仅数量远远超过典型组织中的人数,而且难监控,甚至根本无法识别......
这些都在不断加剧着企业特权账号的管理难度,并增大了企业安全攻击面。
2.
管理随意的特权访问 隐患大
除了特权账号本身特质带来的安全危机以外,很多企业在特权账号与特权访问管理上的不规范性与随意性,更是企业安全隐患的罪魁祸首。
众所周知,企业特权账号往往具备共享性,即企业多个管理员共享同一账号。这样的管理现状使得企业很难跟踪和控制每个人的操作;
其次,特权账号经常被共享、跨系统使用,为便于记忆常使用弱密码或默认密码,因此更容易被盗。同时,很多企业还存在大量闲置或废弃账号,给企业安全埋下严重隐患。
此外,权限滥用是另一个严重风险。一些员工可能超越其职责范围,获取不必要的特权访问权限,从而滥用这些权限进行非法活动;
审计监控不足也是一个问题。有的企业缺乏对特权访问的全面监控和审计措施,很多恶意行为可能会长期存在且不被发现......
3.
层出不穷的安全事件 破坏强
类似因特权账号与访问管理的不规范与随意,导致的安全事件层出不穷。
例如,某电商平台,程序员私登平台,代码被删除事件;某微信小程序头部服务商遭“删库”系统宕机,影响百万小微商户登录故障事件;某人寿公司现内鬼,致公民信息泄露事件......
一项权威数据调查也显示,80%的数据泄漏事件与失窃的特权账号或凭证有关!Forrester Research则显示,80%以上的网络安全事件与特权账号滥用有关。而国际权威机构Gartner更是连续两年将特权访问管理列在Gartner的10大安全项目之首。
4.
特权账号与访问管理 怎么管?
那么,问题来了。企业要如何掌控内部无处不在的特权账号,并在此基础上,实现特权账号与访问管理的安全管控与全局监控?
这里就不得不提及派拉软件特权访问管理(PAM)平台。据了解,派拉软件PAM平台可以帮助企业主动发现各类基础设施资源(如服务器、数据库、硬件设备、虚拟化平台、云平台、三方服务等)的账号分布、识别账号风险、管理账号使用与访问控制,为企业构建特权账号统一管理、统一调度的基础平台,实现特权账号安全管理与全局监控。
账号统管
企业通过派拉软件PAM平台,自动化快速扫描发现所有资产,以及资产上的所有账号,并识别出其中的特权账号;在摸清企业各资产特权账号基础上,梳理所有特权账号的使用方、权限范围、所属关系、风险情况等,评估特权账号更新的影响面,形成各属性完整清晰的企业资产与特权账号清单,利用可视化技术手段与BI数据分析技术,形成多维度的特权账号画像与分析,为后续的特权账号与访问管理安全提供基础。
风险分析
在特权账号梳理过程中,PAM平台还能自动识别分析其中存在的风险账号,如僵尸账号、幽灵账号、无效账号、长期为改密账号、弱密码账号等,减轻系统管理员负担。平台集成了200W+弱密码库,自定义弱密码,实时验证。针对这些风险账号,PAM平台还可以直接关联会话,直达审计入口。在账号访问过程中,平台还将持续检测纳管设备访问来源,及时发现非可信访问来源,并第一时间告警通知。
用户管理
在用户管理上,派拉软件PAM平台将人员与特权账号进行分离,即赋予不同人员相应的唯一身份,当需要使用特权账号时,管理员可以通过登录自己账号,并根据提前设置好的特权账号访问规则进行登录使用,为确保访问人的可信,还会增强身份认证,以确保访问源的可信。这种增加一级用户管理的方式,可以让过去共享的特权账号摆脱人为不安全管控。
密码管理
为摆脱过去弱密码、长期不改密等现状,派拉软件PAM平台提供了密码集中管理,通过定制化密码策略,并按照策略要求,如不同账号类别与资产重要程度不同,设置不同密码更新流程与策略等,实现自动、集中、定期修改系统账号密码。
权限管理
在特权访问过程中,平台基于最小化权限原则,进行权限分配,即限定什么人,在什么时间段,使用什么源IP,以什么样的身份,以什么样的方式,访问哪个目标资源,可以使用哪些操作(命令),过程中还将实时监控,并及时进行会话阻断。此外,针对账号的权限分配、权限回收、权限审计和权限的周期性评估等权限全生命周期进行流程规范化、自动化管理。
安全审计
平台结合流程管理,保留特权账号创建、分配、变更、删除整个过程的信息,从而知道什么时间,哪些账号给了哪些人,每个人拥有什么样的账号等,以便后续审计。在安全审计上,平台提供多样化的会话监控与安全审计,实施全面的账号监控和审计机制,实时记录和监控管理员的特权访问行为,实时检测和响应任何异常活动或潜在的安全威胁。
未来,正如Gartner分析师所预测,下一代PAM解决方案可能会整合更高级的功能,比如行为分析和预测风险评分,从而进一步提高特权账户的安全性。派拉软件PAM平台也在持续升级中,敬请期待!