特权访问管理初学者指南

已发表: 2019-08-21

Cyber​​ Security Ventures 估计,到 2021 年,网络犯罪造成的损失每年将达到 6 万亿美元。他们称之为“黑客末日”。 这一数额是 2015 年 3 万亿美元损失的两倍。 这是对公司的最大全球威胁,也是人类面临的最大问题之一。

现在,犯罪网络攻击的诱因如此之大,以至于它们将超过全球非法贩毒所得的金额。

特权用户帐户

特权用户的帐户经常成为攻击的目标,因为他们具有更强的授权权限,可以访问机密信息,并创建新的用户帐户或更改用户设置。

具有特权访问权限的帐户类型可能包括管理帐户、域管理员帐户、身份验证服务帐户、紧急 IT 安全帐户、Microsoft Active Directory 管理员帐户、云服务帐户和关键路径应用程序编程接口 (API) 帐户。

如果特权用户帐户遭到破坏,可能造成的损害可能非常严重。 例如。 Equifax 违反信用记录帐户造成的几乎所有成年美国人的损失估计为 40 亿美元。 特权访问管理用于降低这种风险。

什么是特权访问管理?

访问管理与客户识别一起使用,以控制用户对网络服务的访问。 特权访问管理用于控制设置为组、帐户类型、应用程序和个人的安全策略的权限级别。 这包括密码管理、会话监控、供应商特权访问和应用程序数据访问。

特权访问管理如何工作?

特权访问管理 (PAM) 软件将特权帐户的凭据存储在一个高度安全且独立的存储库中,其中文件被加密。 单独的加密存储有助于确保凭据不会被盗窃或被未经授权的人用于在系统管理员级别获得网络访问权限。

更复杂的 PAM 系统不允许用户选择密码。 相反,安全密码管理器使用多因素身份验证来验证合法授权用户的请求,然后在每次管理员用户登录时发出一次性密码。如果用户超时,这些密码会自动过期,会话是中断,或在一段时间后。

特权访问管理和 Active Directory

Microsoft 的特权访问管理与 Microsoft 的 Active Directory 域服务一起使用,以保护网络管理员的帐户和其他具有特殊访问权限的帐户。 这有助于降低丢失可以管理公司域的授权用户的凭据的风险。

在 Microsoft Active Directory 系统中,PAM 是由 Microsoft Identity Manager 授权的特权身份管理 (PIM) 的特定实例。 Microsoft 的 PAM 允许授权用户重新建立对受损 Active Directory 系统的控制。 这是通过将管理员的帐户信息保存在不受恶意网络攻击影响的单独环境中来完成的。

用于 Active Directory 的 PAM 提高了安全性

Microsoft 针对 Active Directory 的 PAM 使黑客更难获得对网络的未经授权访问和滥用特权帐户。 在 Microsoft 的 PAM 方案下,特权组可以访问和控制跨多个链接域运行的计算机服务器和软件应用程序。

网络活动监控

通过提高可见性和微调访问控制来不断监控特权组的活动。 网络管理员总是能够看到特权用户在做什么。 网络渗透检测是实时发生的。 这使网络管理员可以更深入地了解特权帐户访问是如何在网络操作环境中使用的。

其他特权访问管理平台

有许多特权访问管理平台需要考虑。 Saviynt 最近宣布了一个用于云服务和混合应用程序的新特权访问管理平台。

云用户访问管理软件提供了管理云服务所需的关键安全功能。 最具创新性的 PAM 平台适用于基于云的服务、本地网络以及两者的混合组合。

顶级 PAM 平台

解决方案审查选择的顶级特权访问管理平台是:

  • BeyondTrust — 该平台适用于具有不同操作系统的服务器的网络。 它支持通过个人身份验证 (PIV) 进行身份验证,并具有允许它使用服务器消息块 (SMB) 网络协议在网络上共享文件的自动化功能。
  • CA Technologies — 此 PAM 平台可与使用云服务和本地网络的混合系统配合使用。 该公司提供全球基础设施支持。 该系统与安全分析、IGA 和其他安全信息和事件管理 (SIEM) 解决方案完美集成。
  • Centrify — 这个 PAM 平台的优势在于其创新的密码安全保险库存储解决方案及其转发功能。
  • Cyber​​Ark — 该平台被公认为是特权帐户风险缓解的领导者,具有出色的密码保管功能。
  • Ekran — 该平台使用基于 Web 的控制台进行需要保持高可用性的部署。 它具有实时网络活动监控,可以记录用户的登录会话。 为了增强安全性,即使在授予访问权限后,主管也可以控制访问权限。 它与票务系统和 SIEM 解决方案完全集成。
  • ManageEngine - 该平台适用于混合云/本地网络。 它易于安装和设置。 许多企业在从本地网络迁移到基于云的服务时使用它。
  • 一个身份——该公司提供可供网络管理员在内部使用的 PAM 解决方案,以及通过名为 Balabit 的提供商提供的基于云的特权访问解决方案。 One Identity 于 2018 年 1 月收购了 Balabit,以扩展其 PAM 解决方案。 One Identity 在许多国家都很流行,因为它提供 13 种语言。 其解决方案专注于控制特权访问的密码管理。
  • SecureAuth — 该平台具有广泛的访问管理功能,包括与 PAM 相结合的多因素身份验证软件。 多因素身份验证软件消除了用于确定特权身份的密码身份验证的需要。
  • Simeio 解决方案 — 该系统提供特权身份管理 (PIM),可用于自动创建合规性问题报告。 它与多因素身份验证和其他访问治理基础架构集成。 PIM 作为一项服务提供,包括 24/7 全天候监控,无需对 IT 设备进行资本投资。
  • Thhycotic - 该系统提供了一个密码管理工具,具有强大的身份管理功能和快速的特权访问管理部署时间。
  • Xton Technologies — 这是一个经济实惠的企业级 PAM 系统,易于实施和配置。 该系统维护成本低,适用于各种规模的企业。

管理特权访问安全风险

网络安全的大部分重点是防止来自外部网络渗透的恶意网络攻击。 但是,管理特权访问还包括从内部管理安全风险。

心怀不满或粗心的员工的作为或不作为通常是重大网络安全漏洞的根源。 人类“工程”可能被用作一种工具,用来诱骗人们泄露安全的登录信息。 这也可能是一项内部工作。

任何有权访问特权访问帐户的人都可能对网络系统造成很大损害。 他们可以更改安全控制、调整用户权限、滥用组织资源以及复制大量机密数据。

使用具有高级授权的特权用户帐户访问网络的流氓行为者几乎可以做任何事情,然后删除他们所做的任何证据。

为了管理这些风险,每个组织都应遵循以下最佳实践:

  • 了解特权访问的详细范围。
  • 仅授予每个用户特别需要的访问权限。
  • 实时监控网络特权访问活动。
  • 使用自动化来管理权限访问控制。
  • 强有力地主动控制对关键资产的所有访问。
  • 将密码和其他重要机密数据隔离在不受恶意软件影响的安全保险库中。
  • 使用在发生任何可疑访问活动时自动向网络管理员发送系统警报的系统。
  • 让主管覆盖立即关闭任何帐户访问的能力。
  • 记录 IT 安全审计的登录会话。

特权访问管理是防御系统的重要组成部分,可防止未经授权的访问和数据泄露。 网络犯罪分子正在继续寻找利用易受攻击系统的新方法。 网络管理员需要将他们的 IT 安全战略集中在他们可以部署的 PAM 最佳解决方案上,并积极主动地保护关键资产。