特權訪問管理 (PAM) 工具可提供一些重要的安全性和合規(guī)性優(yōu)勢，便于企業(yè)構建業(yè)務案例。不過，這些優(yōu)勢利用起來可能會比較復雜，因為它們大多數(shù)都是無形的。換句話說，這些優(yōu)勢都是基于這一假設情景：一旦發(fā)生了安全泄露，會給組織帶來什么成本?根據(jù)組織所在的地區(qū)和行業(yè)，你可以計算出從數(shù)據(jù)泄露中恢復所需的成本。

[[278492]]

特權訪問管理通常被視為一種必要的 “惡魔”，即一種提升公司安全性和合規(guī)性所需的工具，但是卻幾乎無法帶來額外的價值。這種觀點其實是一種誤解。

特權訪問管理如何推動企業(yè)提升投資回報?

除了無形的優(yōu)勢之外，特權訪問管理還能夠帶來一些可衡量的優(yōu)勢，這些可幫助判斷對特權訪問管理解決方案的投資是否合理。下面，我們將深入探討特權訪問管理技術為組織創(chuàng)造價值的多種方式，以及如何更好的向業(yè)務領導展示安全投資回報 (ROSI)。

1. 口令保管

通常而言，口令是最薄弱的一環(huán)。如果沒有相應的管理工具，而且在用戶之間共享，無疑它們很快就會失控。人們經(jīng)常會將口令寫下來，或?qū)⑵浯鎯υ谑鼙Ｗo的電子表格中。因為他們很難與團隊成員共享而且需要手動操作，所以往往用戶并不會過于頻繁地更改口令。

在口令保險庫中，憑證會存儲在由訪問控制策略控制且經(jīng)過加密的安全位置。這是降低密碼風險的第一步，但遠遠無法稱得上一個完整的解決方案。

2. 口令自動化

即使將口令存儲在加密的保管庫中，而且采用了相應的訪問策略和流程，它們?nèi)匀皇庆o態(tài)的。這意味著有些用戶還是可能將其記錄下來，或復制、存儲到其他位置。定期實施自動的口令輪換有助于降低此項風險。

3. 非人類帳戶管理

組織傾向于重點關注人類用戶所用的帳戶和密碼，例如管理員、開發(fā)人員和外部員工所用的帳戶和密碼，這是因為人類用戶會犯錯誤。人類用戶很容易遭受網(wǎng)絡釣魚和社會工程學攻擊，也可能會收受賄賂或遭受威脅，有時候也會對雇主不滿意。

不過組織經(jīng)常會忽略用于指定服務、應用和機器間通信的帳戶。這主要是與更改它們的操作風險有關。在一個針對一些高權限帳戶的特定分析中，我們發(fā)現(xiàn)有大量的口令在十多年內(nèi)都沒有更改過。這背后的原因，公司表示，他們根本不知道更改口令會產(chǎn)生怎樣的后果，換言之，更改口令的操作風險太大。即便是他們了解了相關風險，他們依然不會更改這些口令。這些口令最終會被放入到一個保管庫中，但在此之前，它們都是存儲在安裝文檔中的某個地方，這是另一個非常重要的情況。

特權訪問管理解決方案則可以幫助管控這些帳戶，并定期輪換口令，同時確保不會造成服務中斷。攻擊者知道口令通常都是靜態(tài)的，這也是為什么密碼一直是他們攻擊目標的原因。通常，受操作風險影響，這些憑證都不會被設置過期日期或登錄嘗試失敗限制，而這導致基礎設施非常脆弱。

4. 第三方訪問管理

許多公司通過托管安全服務的方式來維護防火墻、虛擬專用網(wǎng)絡 (VPN)，甚至是整個 IT 基礎設施。這些通常都要求網(wǎng)絡管理員授予外部各方對 IT 基礎設施的訪問權限，而且通常都是高權限?，F(xiàn)在，你可以要求特定的安全措施和策略，但卻無法控制或監(jiān)控第三方的 IT 環(huán)境。如果服務提供商發(fā)生數(shù)據(jù)泄露，進而產(chǎn)生連鎖，導致你的企業(yè)也發(fā)生數(shù)據(jù)泄露，你將如何?即使經(jīng)濟損失能夠獲得補償，但不利的輿論和聲譽仍舊無法挽回。

大多數(shù)特權訪問管理解決方案都會提供會話管理功能，該功能能夠?qū)⒌谌皆L問與網(wǎng)絡分開。你可以通過不需要口令的方式實施該功能;口令會在會話啟動和登錄過程填入，第三方則永遠不會看到口令。該方法可確保問責制，記錄活動的詳細審計痕跡，同時允許安全團隊在檢測到可疑行為時終止正在進行的會話。

5. 會話管理

剛剛說到了第三方訪問，那么你可能要考慮對自己的員工采用類似的訪問限制。這種方式能夠使員工的生活變得更輕松，因為這樣他們就不需要記住、存儲和輸入這些口令。此外，從審計角度來看，你也能獲得更豐富的信息，特別是如果將會話記錄下來的話，以便可在隨后進行重放。

6. 規(guī)避脆弱

可以通過口令輪換的方式，規(guī)避一些與系統(tǒng)相關的脆弱性。哈希傳遞攻擊 (Pass the Hash) 就是一個很好的例子。該漏洞能夠使攻擊者連接到之前曾登錄過受感染系統(tǒng)的其他系統(tǒng)。簡單更改口令就可防止此威脅。因為口令一旦更改，哈希將不再正確。

7. 緊急訪問配備

有些情況下，某些用戶可能需要緊急訪問系統(tǒng);舉例來說，當關鍵服務中斷時，或常規(guī)管理員不可用時，就需要緊急更改某些內(nèi)容，以恢復關鍵業(yè)務服務。在這些情況下，是沒有時間執(zhí)行審批流程的。

特權訪問管理解決方案可以針對相關方實施緊急訪問。舉例來說，你可以設置某些具有廣泛訪問權限的帳戶，但這些帳戶在使用時會觸發(fā)警報，以便從安全角度進行跟進。特權訪問管理工具的另一個優(yōu)勢就是審計痕跡。

8. 審計與合規(guī)

目前有很多法規(guī)、標準和最佳實踐。一般來說，它們有一個共同點：它們都要求實施變更程序，記錄變更并證明變更過程符合相關程序。沒有人會強迫通過工具或軟件來做到這一點。雖然不切實際、容易出錯且不夠完整，但你可以根據(jù)需要跟蹤書面程序上的變更。特權訪問管理能夠幫助實施程序、跟蹤變更并記錄報告的相關數(shù)據(jù)。

更多降低成本的方法

雖然上述內(nèi)容已經(jīng)幫助你實現(xiàn)并證明了積極的投資回報率，以下則是更多可以幫助你間接節(jié)省成本的具體方法。

1. 自動口令輪換

盡管口令輪換一直以來都是安全領域的良好實踐之一，但它也可能需要滿足特定的法規(guī)、標準和最佳實踐。舉例來說，《支付卡行業(yè)數(shù)據(jù)安全標準》(PCI DSS) 要求用戶每 90 天輪換一次口令，而美國國家標準與技術研究院 (NIST) 則規(guī)定：只有在懷疑存在數(shù)據(jù)泄露時，口令才應過期。這兩種標準在口令的長度、復雜性等方面都有自己的具體要求。ISO 27001 也就口令的更新頻率、長度和復雜性給出了相應的要求。英國通信電子安全組織 (CESG) 建議組織定期更改管理員口令，但目前他們并未強制執(zhí)行這一要求。無論遵循哪種標準，關鍵在于需求會隨著時間而變化，因此，組織需要適應性地遵守標準。

即使從監(jiān)管或認證的角度，你不需要遵守標準，也仍舊應在使用后或定期更改高權限帳戶的口令。你可以通過手動設置分離式密碼的方式實現(xiàn)這一點，而且最好由雙方共同完成。但是，即使你對管理員有信心，即使他們只需要一個人便可做到這些，也需要投入大量的時間和金錢。這是一個成本高且容易出錯的過程，每次法規(guī)變更時，你都需要這樣做。

2. 提升工作效率

特權訪問管理在提升工作效率方面有著雙重的作用。自動會話管理和登錄工具可以讓員工更快、更輕松地訪問系統(tǒng)和應用，從而節(jié)省時間和精力、提升工作效率。對于混合環(huán)境而言尤其如此。

當你針對外部各方使用會話時，他們就會知道他們將會被監(jiān)控。雖然這種監(jiān)控原本的目的在于提高安全性。通過監(jiān)控，你還可以了解到他們的工作效率，促使他們高效地執(zhí)行任務。

3. 減少管理員失誤

如果服務中斷一小時的話，你就會知道失誤的平均成本有多少。你還可能知道一年內(nèi)平均會發(fā)生多少次失誤。當員工知道可以通過特權訪問管理方案對其進行監(jiān)控時，他們可能就會更加意識到自己在做什么。如果可以將人為失誤率減少 10%，情況將會怎樣?

4. 數(shù)據(jù)泄露后的恢復

想象一下：你在發(fā)生了一次數(shù)據(jù)泄露后，必須將系統(tǒng)恢復到更早的日期。這時你需要知道該系統(tǒng)在該時間點所用的口令。特權訪問管理可以記錄口令歷史，在恢復過程中為你提供幫助。

如果發(fā)生數(shù)據(jù)泄露或可疑活動，你可能需要立即重置多個帳戶的口令。如果已經(jīng)實施特權訪問管理方案和口令輪換，則只需啟動一個任務即可實現(xiàn)這一點。輪換口令有助于制止或遏制正在發(fā)生的數(shù)據(jù)泄露。

5. 降低審計成本

特權訪問管理能夠跟蹤誰使用了哪些帳戶，這對于保證問責制非常重要，尤其是對于共享帳戶而言更是如此。舉例來說，你可以將帳戶設為獨占帳戶，如此一來，一次就只會有一個用戶訪問系統(tǒng)。通過將系統(tǒng)事件與當時在該系統(tǒng)上處于活動狀態(tài)的用戶相關聯(lián)，你的安全信息和事件管理 (SIEM) 流程將能夠獲得更多可視性并變得更有價值。

借助會話和記錄功能，你可以獲得更多詳細信息。不只是某個用戶做了什么，還可以看到他們所看到的內(nèi)容。舉例來說，如果某個用戶連接到了數(shù)據(jù)庫然后運行查詢，你就可以看到他們所查看的查詢結(jié)果。

讓特權訪問管理成為安全戰(zhàn)略的核心

下次你需要提供審計信息時，切勿讓某個員工花費數(shù)小時或數(shù)天的時間從各種系統(tǒng)中收集所有信息，然后對其進行格式處理并撰寫報告。特權訪問管理可以幫助你完成這些工作，除了安全性和合規(guī)性方面的功能之外，它還可以提供管理高價值帳戶所需的功能，為你的員工提供支持，并向業(yè)務負責人保證他們的安全投資能夠得到所期望的回報。