安全访问管理的即时管理

尽管外部网络安全攻击和恶意软件成为耸人听闻的头条新闻，但大多数组织面临的最大安全威胁来自拥有敏感数据特权访问权限的可信内部人员。 Cybersecurity Insider 的 2020 年内部威胁报告显示，68% 的组织表示内部攻击变得越来越频繁，并且他们感到很容易受到这些攻击。

常设特权的安全挑战

数据安全的基本原则之一是提供最低特权访问，通过仅允许特定目的的特定特权来降低风险面。然而，这一原则很容易被常设权限（即使不需要时也始终可用的帐户权限）所违反，这提供了永久可用的攻击面。

使用具有常设权限的帐户非常常见；特别是，许多组织向所有管理员颁发特权帐户，错误地认为他们需要不受限制的访问才能有效地完成工作。这些帐户通常可以访问超出必要数量的系统，并且始终可供使用，这违反了最小权限原则。

只要帐户（以及由此延伸的特权）存在，安全风险就仍然存在。

什么是即时权限？

即时 (JIT) 权限模型将特权攻击面减少到仅在主动使用特权的时候，而不是始终在线特权的 24/7 攻击面。

当用户需要完成需要提升权限的活动时，他们会完成一个请求，描述任务是什么以及完成该任务所需的资源。如果请求获得批准，他们将获得一个临时身份，该身份具有足够的权限 (JEP) 来完成任务。任务完成后，该身份将被禁用或删除。

然而，重要的是要知道并非所有 JIT 访问解决方案都能真正减少攻击面。一些供应商创建根据请求提供给用户的帐户，但这些帐户在使用后仍保持活动状态，其所有权限都完好无损，而不是被禁用或删除。特权访问管理 (PAM) 工具和密码库通常都是如此。

只要特权帐户存在，所有常设特权的风险就仍然存在于您的系统中。

为什么即时权限对您的组织很重要？

安全实施的 JIT 权限具有多种优势：

• 更强的网络安全。 JIT 权限可显着降低访问凭据被攻击者窃取并用于访问敏感数据或在 IT 生态系统中横向移动的风险。它还降低了帐户所有者恶意或疏忽滥用凭证的风险。

• 简化管理。实施 JIT 特权帐户管理使管理员能够快速访问所需的资源，同时消除与常规帐户相关的所有管理任务，例如频繁更改密码。

• 合规。实施最小权限原则并建立对特权帐户的控制是所有主要合规法规的要求。审计员特别关注这些领域，差距可能导致巨额罚款。消除常设特权帐户可以帮助您避免审计结果。

及时管理权限的方法

JIT 权限有多种不同的方法。寻找最能平衡组织的安全、风险和运营目标的方案，并考虑改变当前程序所需的努力。

• 临时 海拔。用户自己的帐户在有限的时间内被授予额外的权限。时间到了，附加访问权限被撤销
• 代理并删除访问权限。 创建一个或多个常设特权帐户，并将其凭据存储在中央保管库中。用户在请求使用其中一个帐户在特定时间内访问特定系统时必须提供理由。
• 零常设特权 (ZSP)。 没有常设特权帐户。相反，临时特权帐户是根据特定需要启用或创建的，并在使用后销毁或禁用。必须在完成需要提升特定系统、数据库或应用程序权限的特定任务所需的时间内请求特权访问。如果请求获得批准，则授予访问权限。任务完成后，访问权限将被撤销。

零信任框架的好处

作为组织持续风险管理和数据安全策略的一部分，您应该努力实现零常设特权的目标。消除“始终在线”的特权访问以支持 JIT 权限有助于确保只有在有正当理由时才可以访问系统和数据。

优质的 ZSP 解决方案可以帮助您的公司实施多种零信任最佳实践，包括以下内容：

• 职责分离：任何用户或设备都不应拥有对所有 IT 资源的完全访问权限。
• 最低权限访问：用户和设备只能访问他们需要的资源。
• 微分段：IT环境应分为不同的安全区域，需要单独的授权。
• 及时访问：用户和设备仅在需要时且仅在需要时获得提升的访问权限。
• 审核和跟踪：维护每个提升访问权限请求的日志，无论该访问权限是否被授予以及何时被撤销。

Netwrix 如何提供帮助

Netwrix 特权访问管理 (PAM) 软件用即时特权访问取代了常设特权帐户：管理员被授予完成手头任务所需的足够权限，且期限仅限于完成该任务所需的时间。因此，不会有高特权帐户可供黑客入侵或帐户所有者意外或故意滥用。

Netwrix PAM 解决方案可以帮助您的组织：

• 降低特权访问安全风险 - 当管理员需要提升权限来执行特定任务时，您可以创建具有必要权限的临时帐户，也可以暂时提升用户现有帐户的权限。无论哪种情况，任务完成后，提升的访问权限都会立即消失。
• 进一步保护特权访问 - 通过使用针对特定操作和资源定制的精细策略对每个特权会话强制执行上下文多因素身份验证 (MFA)，根据零信任原则验证身份。
• 发现不当特权活动 - 密切监控所有特权帐户活动，并立即就可疑行为发出警报。
• 通过自动清理最大限度地减少攻击面 - 通过在每个特权会话后自动清除 Kerberos 票证，降低哈希传递、黄金票证和相关攻击的风险。
• 重新控制访问权限 - 准确了解谁有权访问关键系统，以便您可以根据执行最低权限原则的要求将访问权限减少到绝对最低限度。
• 通过软件集成最大限度提高工作效率 - 通过将 Netwrix 解决方案与您现有的工具（例如 LAPS、Vault 或 SIEM）集成，充分利用之前的投资。

经常问的问题

1. 什么是 JIT 安全？

即时安全性涉及授予用户在有限的时间内访问特定系统或数据库的权限。它通过限制对敏感资源的访问，极大地降低了“始终在线”特权帐户带来的网络安全风险。

2. 什么是即时特权访问？

即时特权访问是一种数据安全方法，允许用户在有限的时间内满足有效的、特定的需求。它是比常设特权访问更安全的替代方案，允许始终可用的广泛特权访问。

3. 零常设权限与密码库有何不同？

密码保管库是提供 JIT 特权访问的一种方法 - 用户必须专门请求特权帐户的凭据才能执行需要提升访问权限的特定任务。然而，特权帐户即使在未使用时也存在，这使组织面临风险。零常设特权消除了特权帐户；相反，当用户需要提升访问权限时，会为他们提供一个具有足够权限的临时帐户，然后该帐户就会被删除，这使得它成为一种更安全的特权访问管理方法。