什么是特权访问管理 (PAM)？

拥有组织系统和网络特权访问权限的用户构成特殊威胁。 外部威胁行为者通常使用网络钓鱼方案和社会工程技术来瞄准特权帐户，因为获得对这些凭据的控制有助于他们在网络内更自由地移动。此外，人们有时会滥用自己的特权帐户；根据 Verizon 数据泄露调查报告，这种类型的网络攻击需要最长的时间才能发现。

特权访问管理 (PAM) 工具可帮助网络管理员控制特权访问，以降低意外或故意滥用这些强大帐户的风险。

什么是特权访问？

特权访问是授予特定用户的更高级别的 IT 访问权限，例如需要执行管理任务的 IT 专业人员或需要读取或编辑敏感数据的用户。需要访问敏感系统或数据（例如存储在数据库中的客户数据）的服务也可以使用特权帐户。

简而言之，特权用户帐户比普通用户帐户拥有更多访问系统、服务、端点和数据的权限。特权帐户的示例包括：

• IT 管理员帐户 - 使 IT 专业人员能够执行以下功能：

  • 安装硬件或软件
• 重置标准用户帐户的密码
• 登录特定环境中的每台机器
• 改变 IT 基础设施

• 域管理帐户 - 授予对域内所有工作站和服务器的管理访问权限
• 服务帐户 - 由应用程序或服务用来访问数据和其他资源
• 应用程序帐户 - 应用程序使用它来访问数据库、运行批处理作业或脚本，或者提供对其他应用程序的访问
• 业务特权用户帐户 - 授予负责处理人力资源或财务记录等敏感信息的个人，例如数据库操作员或经理
• 紧急帐户 - 提供给用户来处理灾难或其他干扰公司网络和系统可用性的中断吗？

为什么特权帐户需要特殊保护

特权访问对每个组织来说都是一个重大的安全风险。一般来说，管理特权访问有三个主要原因：

• 特权帐户是攻击者的主要目标。 如果攻击者找到一种方法来危害特权帐户，他们可能会访问敏感系统和数据，并且能够在保持访问权限的同时长期掩盖自己的踪迹。
• 特权帐户可能会被其所有者滥用。管理员可能会意外或故意关闭安全控制、修改组策略、窃取敏感数据或对基础设施造成损坏。
• 对特权帐户的控制是所有主要合规法规的要求。审计员特别关注这一要求，特权访问控制中的漏洞可能会导致巨额罚款。

利用特权帐户的途径

以下是特权帐户如何被滥用的一些示例：

• 用户跨越安全边界。最佳实践建议，不仅为每个管理员提供一个特权用户帐户，还为他们提供一个常规用户帐户，用于不需要特殊访问权限的日常活动。不遵守此最佳实践可能会导致安全事件。例如，如果管理员使用其特权帐户登录到工作站，则其凭据可以存储在本地，并且在该计算机上获得立足点的攻击者可以窃取它们。
• 特权帐户是共享的。 如果多个管理员共享对特权帐户的访问权限，则很难让个人对其行为负责，这增加了其中一人以未经授权的方式使用该帐户的可能性。
• 长期特权增加了攻击面。 通常，特权帐户是常设帐户 - 该帐户可以随时使用。因此，破坏管理员帐户的攻击者可以自由地使用它在您的环境中横向移动并寻找机会升级其权限。这极大地增加了他们设法实现窃取数据或对您的组织造成其他损害的最终目标的风险。

什么是特权访问管理？

特权访问管理 (PAM) 是一种全面的安全策略，用于管理对关键公司资源具有提升权限的帐户，并控制这些帐户的使用。 PAM 属于身份和访问管理 (IAM) 的范畴。

投资 PAM 的原因包括：

• 防止特权凭证被盗
• 降低凭证滥用的风险
• 确保个人责任
• 降低因故意或意外滥用特权帐户而导致数据库、服务器和其他关键基础设施停机的风险
• 确保遵守最小特权原则
• 满足安全框架和合规性法规的要求

PAM 特性和功能

以下是与支持特权帐户安全相关的核心领域列表：

• 特权凭证管理 - 处理存储和检索特权用户帐户密码的过程，以降低凭证被盗的风险。管理员可以根据需要从中央位置创建和撤销凭据。
• 即时 (JIT) PAM 方法 - 帮助确保帐户仅在需要时接收特权访问，并且仅在完成业务任务所需的时间内接收特权访问。这可以防止用户帐户维持更高的访问权限的时间超过必要的时间，以避免被内部用户或外部威胁利用。
• 特权帐户发现和加入 - 帮助发现组织中存在特权帐户的位置，以便组织可以确保将它们置于 PAM 的保护之下。
• 特权用户活动跟踪 - 帮助跟踪用户如何利用其特权访问凭据，以便公司可以更快地识别特权帐户的未经授权的使用。
• 日志记录和报告 - 使组织能够记录和创建有关特权帐户使用情况的报告。
• 多重身份验证 - 强制用户在允许访问公司应用程序和系统之前以多种方式确认其身份。
• 特权会话管理 - 使安全管理员能够控制具有特权访问权限的用户的工作会话。例如，当他们发现特权用户帐户的可疑活动时，他们可以阻止对关键资源的访问。
• 权限提升和委派 - 允许管理员对授予特权用户帐户的权限执行更精细的控制，而不是采用全有或全无的方法。
• 特权任务自动化 - 允许管理员设置处理重复 PAM 任务的自动化流程。？

• 2023 年 Gartner® PAM 魔力象限™

PAM 解决方案如何工作？

1. 需要执行需要提升权限的任务的用户可以请求访问特权用户帐户。用户必须提供业务理由来说明为什么他们需要特权访问。
2. PAM 解决方案批准或拒绝请求并记录决策。大多数 PAM 解决方案都可以设置为请求经理批准某些请求。
3. 如果获得批准，用户将暂时获得完成指定任务所需的特权访问权限。通常，他们通过 PAM 接收访问权限，而不是了解特权帐户的密码。

PAM 面临的主要挑战是什么？

传统的 PAM 方法都面临着严峻的挑战，包括：

手动流程

组织可能会选择将特权凭据存储在电子表格中并手动轮换它们。这是劳动密集型且容易出错的。最有问题的是，它并不安全，并且为攻击者和内部滥用打开了大门。

免费工具

这些比什么都不做更安全，但仍然留下多个差距，例如工作流程、会话后轮换或无法审核谁正在访问它们。

传统 PAM 解决方案

旧的 PAM 解决方案有两个主要挑战。首先，它们的复杂性使得实施成本高昂。除了 PAM 基础设施和许可之外，组织还必须投入大量时间进行配置、部署和持续维护。 此外，许多 PAM 解决方案需要额外的许可才能运行，例如第三方 CAL、数据库基础设施和附加组件。

其次，大多数 PAM 解决方案采用以保管库为中心的方法：它们只是管理特权帐户，并且只专注于控制访问。这种方法无法消除或限制这些帐户带来的横向移动攻击面，这称为常设特权。勒索软件等威胁行为者可以利用特权帐户在组织之间传播，即使这些帐户已被保管。

克服 PAM 的挑战

在不影响业务效率的情况下降低安全风险的最佳方法是按需启用权限。零常设权限是一种方法，其中管理员被授予足够的权限来完成特定任务，并且仅限于完成该任务所需的时间。当管理员完成后，权限要么从帐户中删除，要么帐户被完全删除。这种即时方法极大地降低了强大帐户被内部或外部威胁利用的风险。

特权访问管理的最佳实践

• 清点您所有的特权帐户。
• 进行风险评估，了解对您的特权帐户最严重的威胁。
• 实施零常设特权模型以在不使用时删除特权帐户。
• 制定正式的政策来控制特权的访问。
• 跟踪特权帐户的使用情况，以便您可以快速标记可疑行为。
• 利用可为日常活动提供按需特权的工具。
• 清除 Active Directory 中不活动或未使用的帐户，以免它们被滥用。
• 采用零信任和最小特权的原则。

即时 PAM，同时减少攻击面。

Netwrix Privilege Secure for Access Management 使用第三代技术促进安全管理访问，该技术经济高效、直观且易于部署。 Netwrix Privilege Secure for Access Management 自动为每个特权会话生成临时帐户，然后动态配置和取消配置适合所请求活动的即时权限。此操作消除了帐户处于静止状态时的“常设特权”攻击面，提供受控的特权访问，而无需传统以保管库为中心的解决方案的开销和责任。

常问问题

特权访问管理包含哪些内容？

特权访问管理包括保护在公司 IT 平台内被授予更高权限的管理用户和流程。它建立了对企业资源访问的控制。

为什么我需要特权访问管理？

特权访问管理可帮助公司确保用户不会未经授权访问公司系统。它还可以防止网络攻击者获取特权用户帐户凭据的访问权限。

什么是网络中的特权访问管理？

网络中的 PAM 意味着通过 PAM 解决方案集中密码控制和限制访问，帮助公司防止对其网络的攻击。