什么是特权访问?
在企业环境中,“特权访问”是一个特指超出标准用户权限的特殊访问或能力的术语。特权访问使组织能够保护其基础设施和应用程序,有效地运行业务并保持敏感数据和关键基础设施的机密性。
特权访问可以与人类用户以及非人类用户(例如应用程序和计算机身份)相关联。
人类特权访问的示例:
- 超级用户帐户:IT系统管理员使用的功能强大的帐户,可用于配置系统或应用程序、添加或删除用户或删除数据。
- 域管理帐户:具有跨网络域内所有工作站和服务器的特权管理访问权限的帐户。这些帐户通常数量很少,但是它们具有整个网络中最广泛,最强大的访问权限。当提到某些管理员帐户和系统的特权性质时,通常使用短语“IT王国的钥匙”。
- 本地管理帐户:此帐户位于端点或工作站上,并使用用户名和密码的组合,可以帮助人们访问本地计算机或设备并对其进行更改。
- 安全套接层(SSH)密钥:SSH密钥是常用的访问控制协议,可提供对关键系统的直接根访问。根是默认情况下可以访问Linux或其他类似Unix的操作系统上的所有命令和文件的用户名或帐户。
- 紧急帐户:此帐户可在紧急情况下为用户提供对安全系统的管理访问权限。有时也称为firecall或打碎玻璃帐户。
- 特权业务用户:指在IT之外工作但可以访问敏感系统的人员。可能包括需要访问财务、人力资源(HR)或营销系统的人员。
非人类特权访问的示例:
- 应用程序帐户:专用于应用程序软件的特权帐户,通常用于监管、配置或管理对应用程序软件的访问。
- 服务帐户:应用程序或服务用于与操作系统进行交互的帐户。服务使用这些帐户访问操作系统或配置并对其进行更改
- SSH密钥:(如上所述)。自动化过程也使用SSH密钥。
- 机密信息:开发和运营(DevOps)团队经常使用的通用术语,用于指代SSH密钥、应用程序接口(API)密钥以及DevOps团队用于提供特权访问的其他凭据。
特权帐户、凭据和机密信息无处不在:据估计,它们通常比员工人数多三到四倍。在现代商业环境中,与特权相关的攻击面随着系统、应用程序、机器对机器帐户、云和混合环境、DevOps、机器人流程自动化和IoT设备之间的互连日益紧密而迅速增长。攻击者知道这一点,并将特权访问做为目标。如今,几乎100%的高级攻击都依赖于利用特权凭据访问目标的最敏感数据、应用程序和基础设施。如果滥用,特权访问将有能力破坏业务。
涉及特权访问的著名安全漏洞
过去十年中爆出过许多与特权访问滥用相关的安全漏洞。从Terry Childs和Edward Snowden到Yahoo! 以及美国联邦人事管理办公室,再到孟加拉银行的大规模攻击、乌克兰电网攻击,甚至是广为人知的优步(Uber)攻击—每次攻击的共同点都是利用特权凭据用于计划、协调并执行网络攻击。
什么是特权访问管理(PAM)?
组织实施特权访问管理(PAM)以防止凭据盗用和特权滥用所造成的威胁。PAM是指由人员、流程和技术组成的综合网络安全策略,用于控制、监视、保护和审核整个企业IT环境中所有人类和非人类特权身份和活动。
PAM有时被称为特权身份管理(PIM)或特权访问安全(PAS),其以最小权限原则为基础,即用户仅获得执行其工作职能所需的最低访问级别。最小权限原则被广泛认为是网络安全的最佳实践,并且是保护对高价值数据和资产的特权访问的基本步骤。通过执行最小权限原则,组织可以减少攻击面并降低恶意内部人士或外部网络攻击可能导致代价高昂的数据泄露的风险。
特权访问管理的主要挑战
组织在保护、控制和监视特权访问方面面临许多挑战,包括:
- 管理帐户凭据:许多IT组织依靠人工密集型且易于出错的管理流程来轮换和更新特权凭据。这可能是一种低效且昂贵的方法。
- 跟踪特权活动:许多企业无法集中监视和控制特权会话,从而使企业面临网络安全威胁和合规性违规行为。
- 监视和分析威胁:许多组织缺乏全面的威胁分析工具,无法主动识别可疑活动并补救安全事件。
- 控制特权用户访问:组织经常难以有效地控制特权用户对云平台(基础架构即服务和平台即服务)、软件即服务(SaaS)应用程序、社交媒体等的访问,从而造成合规性风险和运营复杂性。
- 保护Windows域控制器:网络攻击者可以利用Kerberos身份验证协议中的漏洞来模拟授权用户并获得对关键IT资源和机密数据的访问权限。
为什么特权访问管理(PAM)对您的组织很重要?
- 人是最薄弱的一环。从内部特权用户滥用其访问级别,到外部网络攻击者瞄准并窃取用户特权以作为“特权内部人员”进行隐匿操作,人类始终是网络安全链中最薄弱的环节。特权访问管理可帮助组织确保人们仅获得进行工作所需的访问级别。PAM还使安全团队能够识别与特权滥用有关的恶意活动,并迅速采取措施来补救风险。
- 在数字业务中,特权无处不在。系统必须能够相互访问和通信才能共同工作。随着组织采用云、DevOps、机器人流程自动化、IoT等技术,需要特权访问的机器和应用程序数量激增,攻击面也越来越大。这些非人类实体的数量远远超过典型组织中的人数,并且更难监控和管理,甚至根本无法识别。现成的商用(COTS)应用程序通常需要访问网络的各个部分,可能被攻击者所利用。强大的特权访问管理策略可在存在特权的本地、云或混合环境中处理它们,并在发生异常活动时进行检测。
- 网络攻击者将端点和工作站作为目标。在企业中,默认情况下,每个端点(笔记本电脑、智能手机、平板电脑、台式机、服务器等)都包含特权。内置的管理员帐户使IT团队可以在本地解决问题,但也会带来巨大的风险。攻击者可以利用管理员帐户,然后从一个工作站跳到另一个工作站窃取其他凭据、提升特权,并通过网络横向移动,直到到达所需的位置。积极主动的PAM计划应考虑完全删除工作站上的本地管理权限,以降低风险。
- PAM对于实现合规性至关重要。监视和检测环境中的可疑事件的能力非常重要,但是如果没有明确关注表现出最大风险(不受管控、不受监视和不受保护的特权访问)的因素,企业将仍然易于受到攻击。在全面的安全和风险管理策略中实施PAM可使组织记录与关键IT基础架构和敏感信息有关的所有活动,从而帮助他们简化审核和合规性要求。
在更广泛的网络安全策略中优先实施PAM程序的组织可以获得许多组织方面的优势,例如降低安全风险和减少总体网络攻击面、降低运营成本和复杂性、增强整个企业的可见性和态势感知并改善法规合规性。
特权访问管理最佳实践
以下步骤提供了一个用于建立基本的PAM控制以改善组织安全状况的框架。实施利用这些步骤的程序可以帮助组织在更短的时间内降低风险、保护其品牌声誉,并以更少的内部资源帮助实现安全和法规目标。
- 消除不可逆的网络接管攻击。隔离对域控制器以及其他Tier0和Tier1资产的所有特权访问,并要求多重身份验证。
- 控制和保护基础架构帐户。将所有众所周知的基础架构帐户都放在一个集中管理的数字保管库中。每次使用后定期自动轮换密码。
- 限制横向运动。从IT Windows工作站上的本地管理员组中完全删除所有端点用户,以阻止凭据盗用。
- 保护第三方应用程序的凭据。保管第三方应用程序使用的所有特权帐户,并删除用于现成商业应用程序的硬编码凭据。
- 管理* NIX SSH密钥。将所有SSH密钥对存储在Linux和Unix生产服务器上并定期轮换。
- 在云端和内部防御DevOps机密。保护所有公共云特权帐户、密钥和API密钥。将CI / CD工具(例如Ansible、Jenkins和Docker)使用的所有凭据和机密放入安全的保管库中,以便能够即时检索、自动轮换和管理。
- 保护SaaS管理员和特权业务用户。隔离对共享ID的所有访问,并要求多重身份验证。
- 投资定期的Red Team团队演习以测试防御能力。验证并提高对于实际攻击的有效性。
若要详细了解这些最佳做法,请访问此处。
