保護(hù)特權(quán)賬號(hào)安全對(duì)于減少攻擊的影響至關(guān)重要。

[[255165]]

對(duì)于每一個(gè)黑客而言，一般都有如下的典型攻擊模式：收集攻擊對(duì)象信息、嗅探以及發(fā)現(xiàn)攻擊路徑、對(duì)目標(biāo)進(jìn)行攻擊并且獲取接入權(quán)限、給自己的接入賬號(hào)進(jìn)行提權(quán)——當(dāng)然，如果能直接獲取特權(quán)賬號(hào)就事半功倍了。因此，對(duì)于攻擊者而言，在最初的攻擊當(dāng)中，目標(biāo)都是獲取盡可能高權(quán)限的賬號(hào)，這樣就能在目標(biāo)系統(tǒng)中不受限地進(jìn)行各種操作，達(dá)成自己的目的。同時(shí)，安全專家也估計(jì)，在他們進(jìn)行調(diào)查的嚴(yán)重網(wǎng)絡(luò)攻擊事件中有80%到“幾乎全部”都在攻擊過程的某個(gè)環(huán)節(jié)利用了特權(quán)賬戶。

典型的保護(hù)特權(quán)賬號(hào)安全的流程

可以發(fā)現(xiàn)，特權(quán)賬號(hào)的保護(hù)是不得不注意的一點(diǎn)。大部分企業(yè)對(duì)于信息的保護(hù)以及賬號(hào)保護(hù)的方案一般都基于以下幾點(diǎn)：

• 對(duì)不同敏感度的信息分類，并且進(jìn)行不同深度的保護(hù)。
• 對(duì)不同權(quán)限的賬戶，能查閱、修改不同的信息。
• 對(duì)賬戶進(jìn)行各種認(rèn)證保護(hù)。

這些措施都是非常正確，并且是必須實(shí)行的。但是，我們需要意識(shí)到的是，如果特權(quán)賬戶無(wú)法獲得適當(dāng)?shù)谋Ｗo(hù)，以上的保護(hù)可能都會(huì)被繞過，變得形同虛設(shè)。

然而，絕大部分企業(yè)對(duì)特權(quán)賬戶的保護(hù)有以下幾個(gè)很大的誤區(qū)與問題：

• 對(duì)特權(quán)賬戶保護(hù)不夠重視：正如之前說(shuō)的一樣，保護(hù)特權(quán)賬戶并不完全包含在對(duì)數(shù)據(jù)的分類保護(hù)、對(duì)賬戶的登錄認(rèn)證這些方面——盡管很多管理者那么認(rèn)為。事實(shí)上，由于企業(yè)的IT環(huán)境在不斷變化，特權(quán)賬戶的歸屬本身也在不斷變化。當(dāng)發(fā)生人事調(diào)動(dòng)，以及使用了不同的系統(tǒng)時(shí)，特權(quán)賬戶的使用情況會(huì)發(fā)生變化，一旦不進(jìn)行妥善處理，就會(huì)留下內(nèi)部人員賬戶權(quán)限過大以及僵尸特權(quán)賬號(hào)的問題，從而留下內(nèi)部以及外部的安全隱患。
• 特權(quán)賬戶只是針對(duì)人的：也會(huì)有管理者認(rèn)為特權(quán)賬戶的管理只是針對(duì)人員的，因此，只要從規(guī)范上對(duì)人進(jìn)行足夠的安全保護(hù)以及教育，就能做好特權(quán)賬戶的保護(hù)。事實(shí)上，特權(quán)賬戶的保護(hù)，除了與人相關(guān)，也與軟件相關(guān)：不同的軟件、應(yīng)用、服務(wù)在相互之間交互的時(shí)候，也需要通過賬戶進(jìn)行，因此對(duì)于企業(yè)在日常運(yùn)營(yíng)、開發(fā)過程中，也會(huì)產(chǎn)生各類特權(quán)賬號(hào)。
• 不知道自己有多少特權(quán)賬戶：基于以上兩點(diǎn)，大部分的企業(yè)很多時(shí)候?qū)μ貦?quán)賬戶的管理是十分混亂的：他們不知道自己有哪些特權(quán)賬戶、這些特權(quán)賬戶都能做些什么、這些特權(quán)賬戶都在哪里。如今很多攻擊者往往有極高的耐心，他們會(huì)靜靜地潛伏在企業(yè)的系統(tǒng)，甚至直接潛伏在企業(yè)中數(shù)周到數(shù)月，發(fā)現(xiàn)以及等待對(duì)特權(quán)賬戶的攻擊機(jī)會(huì)——企業(yè)卻不知道自己到底有哪些特權(quán)賬戶，那有如何發(fā)現(xiàn)以及防護(hù)自己的企業(yè)呢?
• 我們不需要那么多的防御：很多中小企業(yè)會(huì)認(rèn)為：自己的IT系統(tǒng)沒那么復(fù)雜、攻擊者更傾向于攻擊油水豐厚的大企業(yè)。結(jié)論則是，自己不需要那么多的安全防護(hù)。但是，攻擊者是無(wú)孔不入的;而且，他們尤其喜歡中小企業(yè)——雖然看上去獲得的利益沒有大型企業(yè)那么多，但是因?yàn)楹芏鄷r(shí)候中小企業(yè)對(duì)自身缺乏足夠的安全防護(hù)，使得攻擊更容易達(dá)成。而我們也在開頭提到了，無(wú)論是從攻擊者角度，還是從安全專家角度來(lái)看，獲取特權(quán)賬戶是在攻擊流程中幾乎必然發(fā)生的一個(gè)環(huán)節(jié)。

我們?cè)撟鍪裁?

特權(quán)賬戶的防御往往是保護(hù)數(shù)據(jù)泄露的最后一道防線。安全專家們給企業(yè)的特權(quán)賬戶管理提出了以下幾個(gè)建議：

• 了解自己有哪些特權(quán)賬戶：我們一直在強(qiáng)調(diào)：要保護(hù)一樣?xùn)|西，首先要知道自己有多少這些東西，而他們又在哪里、以怎樣的形式存在著。企業(yè)對(duì)特權(quán)賬戶管理的第一步就是要知道自己有哪些特權(quán)賬戶：自己各個(gè)系統(tǒng)的root賬戶、自己的應(yīng)用賬號(hào)、自己的各類憑證。有一個(gè)數(shù)據(jù)可能會(huì)出乎很多人的意料：一個(gè)企業(yè)的特權(quán)賬戶數(shù)量是普通賬戶數(shù)量的3到4倍。顯然，知道自己有哪些特權(quán)賬戶遠(yuǎn)比管理自己的普通賬戶復(fù)雜。
• 監(jiān)控特權(quán)賬戶的變化：企業(yè)的人員在不斷變化，企業(yè)的IT環(huán)境也在不斷變化。企業(yè)需要根據(jù)人員與IT環(huán)境的變化追蹤每個(gè)特權(quán)賬戶是否依然有必要保留之前的權(quán)限。當(dāng)發(fā)生環(huán)境變化時(shí)，不僅僅要給原有的賬戶根據(jù)其新角色加上新的權(quán)限，也要根據(jù)新的角色取消原有的權(quán)限。另一方面，針對(duì)賬戶的權(quán)限變化進(jìn)行監(jiān)控，也能防止異常的賬戶權(quán)限變化——比如攻擊者將自身的賬戶進(jìn)行提權(quán)進(jìn)行進(jìn)一步攻擊的行為。
• 限制特權(quán)賬戶的權(quán)限：安全需要遵守的原則之一是“最小權(quán)限原則”——即對(duì)人、系統(tǒng)給與的權(quán)限只需要滿足該實(shí)體需要執(zhí)行自己任務(wù)的最低的權(quán)限即可。因此，特權(quán)賬戶并不可以被無(wú)限制地延伸自己的權(quán)限，從特權(quán)賬戶建立的時(shí)間開始，就需要對(duì)其能進(jìn)行的權(quán)限進(jìn)行限制。
• 定期整理自己的資產(chǎn)與賬戶：即使有完善的管理，在整個(gè)執(zhí)行的過程中，依然難免會(huì)產(chǎn)生一些疏漏。因此，企業(yè)需要定期對(duì)自己的資產(chǎn)與賬戶進(jìn)行整體的整理。再次強(qiáng)調(diào)，特權(quán)賬戶并不局限于對(duì)應(yīng)人的賬號(hào)上，某些系統(tǒng)、應(yīng)用本身也是帶有特權(quán)的實(shí)體——而他們也屬于企業(yè)的特權(quán)賬戶，也是企業(yè)的信息資產(chǎn)——而資產(chǎn)本身在企業(yè)的生產(chǎn)和運(yùn)營(yíng)過程中會(huì)不斷改變和增加，企業(yè)需要定期整理自己的信息資產(chǎn)，并且對(duì)自身的信息資產(chǎn)的權(quán)限進(jìn)行整理與管理。
• 部署合適的防御方案：了解自己的特權(quán)賬戶是為了管理以及——防御。企業(yè)需要針對(duì)性地部署自己特權(quán)賬戶的安全方案。但是，每家企業(yè)的IT環(huán)境都會(huì)因?yàn)樽陨淼臉I(yè)務(wù)有所不同，因此企業(yè)需要根據(jù)自己的需求進(jìn)行特權(quán)賬戶進(jìn)行防御的部署。這里并不是說(shuō)企業(yè)需要完全進(jìn)行個(gè)性化的安全解決方案，而是需要和專門的特權(quán)賬戶安全供應(yīng)商合作，在企業(yè)特性需求以及網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，打造最適合企業(yè)的體系。

對(duì)特權(quán)賬戶使用高信任度認(rèn)證方式：這是很顯然的行為，越高權(quán)限的賬戶需要越安全的認(rèn)證方式。單純的賬號(hào)密碼組合是絕對(duì)不夠的，運(yùn)用短信等多因子驗(yàn)證已經(jīng)逐漸成為一種趨勢(shì)。

誰(shuí)來(lái)提供解決方案?

要達(dá)成這些目標(biāo)，顯然是不能完全使用人力進(jìn)行，也不建議使用其他安全系統(tǒng)來(lái)作為替代品。最好的方式是用專門的PAM(Privileged Access Management，特權(quán)賬戶管理)工具進(jìn)行管理——包括特權(quán)的給予、提升以及降權(quán)等行為。一款優(yōu)秀的PAM系統(tǒng)不僅僅能夠滿足以上對(duì)特權(quán)賬戶管理的需求，同時(shí)也能引導(dǎo)企業(yè)建立自身的特權(quán)賬戶管理方案。無(wú)論是大型企業(yè)，還是中小企業(yè)，都需要盡快規(guī)劃自己對(duì)特權(quán)賬戶管理的策略。如果對(duì)PAM工具以及廠商不是特別熟悉，下方是最新(2018年12月)Gartner的PAM魔力象限圖，可以從象限中參考適合自己的廠商。

在2018年6月Gartner曾經(jīng)提出2018年的十大網(wǎng)絡(luò)安全項(xiàng)目，其中特權(quán)賬號(hào)安全被列為第一項(xiàng)的安全重點(diǎn)項(xiàng)目。由此，Gartner在2018年底正式發(fā)布了“特權(quán)賬號(hào)安全領(lǐng)域”魔力象限評(píng)測(cè)。

從領(lǐng)導(dǎo)者的象限上來(lái)看，這四家廠商各有各的優(yōu)勢(shì)。CyberArk有相當(dāng)?shù)募夹g(shù)積累以及歷史的公司，其在PAM上的產(chǎn)品線與功能相當(dāng)全面;BeyondTrust則有能和資產(chǎn)與漏洞管理相結(jié)合，快速減少威脅面的能力;Centrify提供遠(yuǎn)程第三方特權(quán)賬號(hào)解決方案，從而不需要再使用VPN;CA Technologies則擁有最好的PSM(Print Services Manager)以及對(duì)AWS的準(zhǔn)時(shí)化特權(quán)過濾的支持。

但是，在選擇的時(shí)候，我們也需要意識(shí)到，PAM如今的主要市場(chǎng)在北美和歐洲。比如在Gartner的魔力象限中就提到，Centrify的主要支持都在北美，因此如果主要使用地區(qū)在國(guó)內(nèi)，Centrify可能無(wú)法提供最有效的支持。當(dāng)然，也有廠商在開拓亞洲市場(chǎng)，比如CyberArk就在幫助國(guó)內(nèi)企業(yè)，打造適合他們的特權(quán)賬戶安全解決方案。企業(yè)在選擇廠商的時(shí)候也需要考慮自己部署的地理位置以及能否獲得最直接的技術(shù)支持。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文