【51CTO.com 快譯】最近各種研究都表明：公司需要更多地去關(guān)注他們的特權(quán)賬戶。

自從獲悉了VERIZON的數(shù)據(jù)丟失調(diào)查報(bào)告所顯示的63%的數(shù)據(jù)丟失與默認(rèn)的弱密碼以及密碼被盜有關(guān)后，特權(quán)訪問管理(Privileged access management - PAM) 已被諸多安全經(jīng)理所親睞。因?yàn)楹诳统Ｓ玫墨@取數(shù)據(jù)的工具就是和特權(quán)賬戶有關(guān)。

[[171402]]

本周有兩篇涉及PAM的***報(bào)告指出：盡管大家對(duì)PAM的意識(shí)正在增強(qiáng)，但要想使之成為主流，仍有許多“功課”需要去做。例如，BeyondTrust.com發(fā)布的一份報(bào)告指出：76%的***公司已應(yīng)用密碼循環(huán)更新策略，而只有14%的底層公司真正遵循著這些***實(shí)踐。那些所謂的***公司占BeyondTrust研究的550名受訪者中的三分之一。BeyondTrust特權(quán)策略總監(jiān)斯科特•朗表示：“***公司之間[和]或其他公司之間的差異其實(shí)還是蠻大的。引人注目的是只有3%的受訪者說他們有實(shí)時(shí)終止會(huì)話的能力。”

受Forcepoint之托，Ponemon研究所在2011年和2014年對(duì)PAM做了持續(xù)研究。本周其發(fā)布的報(bào)告顯示：在今年基于704名受訪者的研究中，91%的人相信：用戶特權(quán)的濫用所引發(fā)的風(fēng)險(xiǎn)將在未來12 - 24個(gè)月有所增加或至少持平。研究還發(fā)現(xiàn)：39%的人對(duì)特權(quán)用戶訪問的完整可見性能力缺乏信心，也無法評(píng)判用戶是否在按合規(guī)辦事。只有18%的人對(duì)此能力有足夠的信心。

“很多組織甚至不能說出什么是Ground Zero (一個(gè)小有名氣的信息安全峰會(huì)的名稱),” Forcepoint的聯(lián)合科技銷售總監(jiān)邁克爾·克勞斯說，“公司專注于外部威脅無可厚非，但內(nèi)部特權(quán)用戶所導(dǎo)致的數(shù)據(jù)泄漏同樣重要，甚至更具破壞性”。他還說：“各級(jí)組織必須意識(shí)到他們所授予特殊訪問權(quán)限的人具有很大的破壞力。他們可以安裝一些僅在兩周后甚至是其離開公司數(shù)月后才生效的惡意軟件。”

基于上述對(duì)朗先生、克勞斯先生的采訪以及兩份報(bào)告所提及的數(shù)據(jù)，本文提出以下七個(gè)小貼士，旨在幫助信息安全經(jīng)理們提高其PAM的管理實(shí)踐能力。

1. 實(shí)施最小特權(quán)政策

特權(quán)用戶應(yīng)該只有工作所需的訪問權(quán)限。Forcepoint/Ponemo所出具的報(bào)告發(fā)現(xiàn)：74%的受訪者說，特權(quán)用戶認(rèn)為他們有訪問所有信息的權(quán)限;而66%的人認(rèn)為特權(quán)用戶出于好奇心會(huì)去訪問敏感的或機(jī)密的數(shù)據(jù)。另外58%的人認(rèn)為公司組織通常分配了遠(yuǎn)超過個(gè)人的角色和責(zé)任的特權(quán)訪問權(quán)限給用戶。

這個(gè)“最小特權(quán)政策”的概念也可以擴(kuò)展到所有用戶上。專家建議公司對(duì)訪問應(yīng)用程序進(jìn)行授權(quán)，且不做訪問特權(quán)的擴(kuò)展。公司沒有理由讓一個(gè)人擁有超出其工作范圍的訪問特權(quán)。比如說：如果一個(gè)員工在家工作時(shí)需要訪問一個(gè)打印服務(wù)器，其公司僅授權(quán)他去訪問一臺(tái)指定的打印服務(wù)器。這樣一旦他們?cè)O(shè)置好服務(wù)，打印連接建立好后，便可馬上撤銷相應(yīng)的許可權(quán)限。

2. 使用漏洞評(píng)估來管理風(fēng)險(xiǎn)，獲取組織里特權(quán)帳戶的可見性

BeyondTrust的報(bào)告指出：91%的***公司進(jìn)行著漏洞評(píng)估;而只有20%的***層的組織這么做。沒有公司風(fēng)險(xiǎn)狀況的可見性等于開啟了組織的潛在風(fēng)險(xiǎn)之門。比如說：通過對(duì)企業(yè)進(jìn)行常規(guī)的漏洞評(píng)估，他們可以獲知30、60或90天沒給系統(tǒng)打補(bǔ)丁這個(gè)漏洞的存在。也就是說，通過漏洞評(píng)估，他們可以明智的決定是否要發(fā)布一個(gè)補(bǔ)丁到系統(tǒng)里。

3. 建立一個(gè)密碼集中管理的政策

BeyondTrust的報(bào)告也指出：92%的***公司對(duì)特權(quán)用戶實(shí)施密碼集中管理;而只有25%的***層的公司是這么做的。公司也經(jīng)常需要周期性更新密碼。這個(gè)周期可以是每10、20或30天，具體可以根據(jù)組織自身情況而定。

4. 加強(qiáng)對(duì)特權(quán)會(huì)話的監(jiān)控

BeyondTrust的報(bào)告同時(shí)指出：71%的***公司有監(jiān)控特權(quán)帳戶的會(huì)話的能力;而只有49%的***層的組織能做到這一點(diǎn)。約45%的公司既可以實(shí)時(shí)觀察又能實(shí)時(shí)終止會(huì)話;而只有3%的公司只能做到實(shí)時(shí)終止他們的會(huì)話。記?。寒?dāng)一些非尋常的行為發(fā)生時(shí)，能夠監(jiān)控并終止掉該會(huì)話的能力對(duì)于保護(hù)組織的系統(tǒng)是非常有效的。

5. 對(duì)已獲特權(quán)訪問的帳戶進(jìn)行徹底的背景調(diào)查

Forcepoint/Ponemo所研究的大多數(shù)組織里，63%在發(fā)放特權(quán)憑證前執(zhí)行過徹底的背景檢查。這相對(duì)于2014年的57%比例已有所上升。然而，事實(shí)上37%的組織因?yàn)榕乱鹩脩艨只胚@一潛在的風(fēng)險(xiǎn)而不執(zhí)行背景調(diào)查。

6. 現(xiàn)代化的組織特權(quán)用戶培訓(xùn)方案

Forcepoint/Ponemo所研究的受訪者中，約60%的有著定期的特權(quán)用戶培訓(xùn)方案，但只有27%的人認(rèn)為這些培訓(xùn)方案有著大幅度降低風(fēng)險(xiǎn)的能力。原因是：大多數(shù)的培訓(xùn)內(nèi)容是那種靜態(tài)的復(fù)選框式的30分鐘視頻，因此會(huì)給人帶來乏味感。而如今的工作者，他們大多是注意力不易集中的千禧一代，反而會(huì)對(duì)有互動(dòng)的培訓(xùn)材料反應(yīng)更好些。

7. 向分配給業(yè)務(wù)部門特權(quán)用戶認(rèn)證的責(zé)任

Forcepoint/Ponemo研究發(fā)現(xiàn)：46%的受訪者認(rèn)為，部門經(jīng)理是最有責(zé)任進(jìn)行特權(quán)用戶角色認(rèn)證授權(quán)的。這確實(shí)也是一個(gè)很好的并值得強(qiáng)化的趨勢(shì)。IT安全分析師們有著這樣面向流程的“世界觀”：他們認(rèn)為“誰可以訪問哪些應(yīng)用程序和數(shù)據(jù)集”應(yīng)該是由有著更廣闊的公司運(yùn)營觀的業(yè)務(wù)部門經(jīng)理所決定的。

原文標(biāo)題：How To Bullet Proof Your PAM Accounts: 7 Tips   作者：Steve Zurier

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】