特權(quán)賬號(hào)�,通往企業(yè)數(shù)據(jù)大門的“鑰匙”。
它權(quán)限大���,具有高危命令或操作的執(zhí)行權(quán)限����;
破壞性強(qiáng)���,操作可能影響他人使用或其他系統(tǒng)故障�����;
信息泄露風(fēng)險(xiǎn)大����,操作可能獲取別人或其他系統(tǒng)相關(guān)隱私信息����;
操作者不完全可信,尤其是人......
這樣的“鑰匙”���,如果在企業(yè)內(nèi)部無(wú)處不在����,且管理隨意,內(nèi)外部人員不僅都能輕易拿到“鑰匙”����;打開門后�,更是如入“無(wú)人之境”。結(jié)果會(huì)怎樣��?企業(yè)又該怎么管����?
無(wú)處不在的特權(quán)賬號(hào) 管理難
事實(shí)上,特權(quán)賬號(hào)在企業(yè)內(nèi)部確實(shí)無(wú)處不在����。從操作系統(tǒng)、數(shù)據(jù)庫(kù)��、網(wǎng)絡(luò)設(shè)備���、應(yīng)用系統(tǒng)等等��,企業(yè)IT環(huán)境中覆蓋著各種各樣的特權(quán)賬號(hào)���。據(jù)有關(guān)調(diào)查顯示����,企業(yè)特權(quán)賬號(hào)可能是員工人數(shù)的10倍�����,這個(gè)倍數(shù)還在不斷增長(zhǎng)���!
隨著云���、DevOps、機(jī)器人流程自動(dòng)化��、IoT等技術(shù)的發(fā)展與普及��,企業(yè)需要特權(quán)訪問(wèn)的機(jī)器和應(yīng)用程序數(shù)量更是不斷激增�。這些非人類實(shí)體的特權(quán)賬號(hào)不僅數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)典型組織中的人數(shù),而且難監(jiān)控��,甚至根本無(wú)法識(shí)別......
這些都在不斷加劇著企業(yè)特權(quán)賬號(hào)的管理難度�����,并增大了企業(yè)安全攻擊面。
除了特權(quán)賬號(hào)本身特質(zhì)帶來(lái)的安全危機(jī)以外����,很多企業(yè)在特權(quán)賬號(hào)與特權(quán)訪問(wèn)管理上的不規(guī)范性與隨意性,更是企業(yè)安全隱患的罪魁禍?zhǔn)住?/strong>
眾所周知����,企業(yè)特權(quán)賬號(hào)往往具備共享性,即企業(yè)多個(gè)管理員共享同一賬號(hào)���。這樣的管理現(xiàn)狀使得企業(yè)很難跟蹤和控制每個(gè)人的操作;
其次���,特權(quán)賬號(hào)經(jīng)常被共享�、跨系統(tǒng)使用��,為便于記憶常使用弱密碼或默認(rèn)密碼�,因此更容易被盜。同時(shí)����,很多企業(yè)還存在大量閑置或廢棄賬號(hào),給企業(yè)安全埋下嚴(yán)重隱患�。
此外���,權(quán)限濫用是另一個(gè)嚴(yán)重風(fēng)險(xiǎn)。一些員工可能超越其職責(zé)范圍����,獲取不必要的特權(quán)訪問(wèn)權(quán)限,從而濫用這些權(quán)限進(jìn)行非法活動(dòng)�;
審計(jì)監(jiān)控不足也是一個(gè)問(wèn)題。有的企業(yè)缺乏對(duì)特權(quán)訪問(wèn)的全面監(jiān)控和審計(jì)措施���,很多惡意行為可能會(huì)長(zhǎng)期存在且不被發(fā)現(xiàn)......
類似因特權(quán)賬號(hào)與訪問(wèn)管理的不規(guī)范與隨意�,導(dǎo)致的安全事件層出不窮�����。
例如����,某電商平臺(tái),程序員私登平臺(tái)����,代碼被刪除事件;某微信小程序頭部服務(wù)商遭“刪庫(kù)”系統(tǒng)宕機(jī)�����,影響百萬(wàn)小微商戶登錄故障事件;某人壽公司現(xiàn)內(nèi)鬼�����,致公民信息泄露事件......
一項(xiàng)權(quán)威數(shù)據(jù)調(diào)查也顯示����,80%的數(shù)據(jù)泄漏事件與失竊的特權(quán)賬號(hào)或憑證有關(guān)!Forrester Research則顯示�,80%以上的網(wǎng)絡(luò)安全事件與特權(quán)賬號(hào)濫用有關(guān)。而國(guó)際權(quán)威機(jī)構(gòu)Gartner更是連續(xù)兩年將特權(quán)訪問(wèn)管理列在Gartner的10大安全項(xiàng)目之首�����。
特權(quán)賬號(hào)與訪問(wèn)管理 怎么管����?
那么�����,問(wèn)題來(lái)了��。企業(yè)要如何掌控內(nèi)部無(wú)處不在的特權(quán)賬號(hào),并在此基礎(chǔ)上���,實(shí)現(xiàn)特權(quán)賬號(hào)與訪問(wèn)管理的安全管控與全局監(jiān)控�����?
這里就不得不提及派拉軟件特權(quán)訪問(wèn)管理(PAM)平臺(tái)�。據(jù)了解�,派拉軟件PAM平臺(tái)可以幫助企業(yè)主動(dòng)發(fā)現(xiàn)各類基礎(chǔ)設(shè)施資源(如服務(wù)器、數(shù)據(jù)庫(kù)�����、硬件設(shè)備����、虛擬化平臺(tái)、云平臺(tái)��、三方服務(wù)等)的賬號(hào)分布����、識(shí)別賬號(hào)風(fēng)險(xiǎn)、管理賬號(hào)使用與訪問(wèn)控制���,為企業(yè)構(gòu)建特權(quán)賬號(hào)統(tǒng)一管理����、統(tǒng)一調(diào)度的基礎(chǔ)平臺(tái),實(shí)現(xiàn)特權(quán)賬號(hào)安全管理與全局監(jiān)控�����。
企業(yè)通過(guò)派拉軟件PAM平臺(tái)�,自動(dòng)化快速掃描發(fā)現(xiàn)所有資產(chǎn),以及資產(chǎn)上的所有賬號(hào)�����,并識(shí)別出其中的特權(quán)賬號(hào)����;在摸清企業(yè)各資產(chǎn)特權(quán)賬號(hào)基礎(chǔ)上��,梳理所有特權(quán)賬號(hào)的使用方���、權(quán)限范圍�、所屬關(guān)系�、風(fēng)險(xiǎn)情況等���,評(píng)估特權(quán)賬號(hào)更新的影響面,形成各屬性完整清晰的企業(yè)資產(chǎn)與特權(quán)賬號(hào)清單��,利用可視化技術(shù)手段與BI數(shù)據(jù)分析技術(shù)���,形成多維度的特權(quán)賬號(hào)畫像與分析�����,為后續(xù)的特權(quán)賬號(hào)與訪問(wèn)管理安全提供基礎(chǔ)�����。
在特權(quán)賬號(hào)梳理過(guò)程中����,PAM平臺(tái)還能自動(dòng)識(shí)別分析其中存在的風(fēng)險(xiǎn)賬號(hào)��,如僵尸賬號(hào)����、幽靈賬號(hào)、無(wú)效賬號(hào)、長(zhǎng)期為改密賬號(hào)�、弱密碼賬號(hào)等,減輕系統(tǒng)管理員負(fù)擔(dān)�����。平臺(tái)集成了200W+弱密碼庫(kù)�����,自定義弱密碼��,實(shí)時(shí)驗(yàn)證��。針對(duì)這些風(fēng)險(xiǎn)賬號(hào)���,PAM平臺(tái)還可以直接關(guān)聯(lián)會(huì)話����,直達(dá)審計(jì)入口�。在賬號(hào)訪問(wèn)過(guò)程中,平臺(tái)還將持續(xù)檢測(cè)納管設(shè)備訪問(wèn)來(lái)源�����,及時(shí)發(fā)現(xiàn)非可信訪問(wèn)來(lái)源��,并第一時(shí)間告警通知����。
在用戶管理上,派拉軟件PAM平臺(tái)將人員與特權(quán)賬號(hào)進(jìn)行分離����,即賦予不同人員相應(yīng)的唯一身份,當(dāng)需要使用特權(quán)賬號(hào)時(shí)����,管理員可以通過(guò)登錄自己賬號(hào),并根據(jù)提前設(shè)置好的特權(quán)賬號(hào)訪問(wèn)規(guī)則進(jìn)行登錄使用����,為確保訪問(wèn)人的可信,還會(huì)增強(qiáng)身份認(rèn)證����,以確保訪問(wèn)源的可信。這種增加一級(jí)用戶管理的方式����,可以讓過(guò)去共享的特權(quán)賬號(hào)擺脫人為不安全管控。
為擺脫過(guò)去弱密碼、長(zhǎng)期不改密等現(xiàn)狀�����,派拉軟件PAM平臺(tái)提供了密碼集中管理����,通過(guò)定制化密碼策略,并按照策略要求����,如不同賬號(hào)類別與資產(chǎn)重要程度不同,設(shè)置不同密碼更新流程與策略等����,實(shí)現(xiàn)自動(dòng)、集中���、定期修改系統(tǒng)賬號(hào)密碼�����。
在特權(quán)訪問(wèn)過(guò)程中���,平臺(tái)基于最小化權(quán)限原則����,進(jìn)行權(quán)限分配�,即限定什么人���,在什么時(shí)間段�����,使用什么源IP�,以什么樣的身份�,以什么樣的方式,訪問(wèn)哪個(gè)目標(biāo)資源���,可以使用哪些操作(命令)�����,過(guò)程中還將實(shí)時(shí)監(jiān)控���,并及時(shí)進(jìn)行會(huì)話阻斷。此外�,針對(duì)賬號(hào)的權(quán)限分配����、權(quán)限回收�����、權(quán)限審計(jì)和權(quán)限的周期性評(píng)估等權(quán)限全生命周期進(jìn)行流程規(guī)范化����、自動(dòng)化管理。
平臺(tái)結(jié)合流程管理��,保留特權(quán)賬號(hào)創(chuàng)建�����、分配���、變更�、刪除整個(gè)過(guò)程的信息����,從而知道什么時(shí)間,哪些賬號(hào)給了哪些人��,每個(gè)人擁有什么樣的賬號(hào)等,以便后續(xù)審計(jì)��。在安全審計(jì)上��,平臺(tái)提供多樣化的會(huì)話監(jiān)控與安全審計(jì)����,實(shí)施全面的賬號(hào)監(jiān)控和審計(jì)機(jī)制����,實(shí)時(shí)記錄和監(jiān)控管理員的特權(quán)訪問(wèn)行為,實(shí)時(shí)檢測(cè)和響應(yīng)任何異?�;顒?dòng)或潛在的安全威脅���。
未來(lái)���,正如Gartner分析師所預(yù)測(cè),下一代PAM解決方案可能會(huì)整合更高級(jí)的功能����,比如行為分析和預(yù)測(cè)風(fēng)險(xiǎn)評(píng)分,從而進(jìn)一步提高特權(quán)賬戶的安全性�。派拉軟件PAM平臺(tái)也在持續(xù)升級(jí)中���,敬請(qǐng)期待!
員工身份與訪問(wèn)控制eIAM
客戶身份與訪問(wèn)控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問(wèn)管理PAM
數(shù)據(jù)庫(kù)訪問(wèn)管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門戶
.jpg)
.jpg)
熱門文章
7*24小時(shí)服務(wù)
專屬安全顧問(wèn)
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)