特权访问管理 (PAM) 工具可提供一些重要的安全性和合规性优势,便于企业构建业务案例。不过,这些优势利用起来可能会比较复杂,因为它们大多数都是无形的。换句话说,这些优势都是基于这一假设情景:一旦发生了安全泄露,会给组织带来什么成本?根据组织所在的地区和行业,你可以计算出从数据泄露中恢复所需的成本。
特权访问管理通常被视为一种必要的 “恶魔”,即一种提升公司安全性和合规性所需的工具,但是却几乎无法带来额外的价值。这种观点其实是一种误解。
特权访问管理如何推动企业提升投资回报?
除了无形的优势之外,特权访问管理还能够带来一些可衡量的优势,这些可帮助判断对特权访问管理解决方案的投资是否合理。下面,我们将深入探讨特权访问管理技术为组织创造价值的多种方式,以及如何更好的向业务领导展示安全投资回报 (ROSI)。
1. 口令保管
通常而言,口令是最薄弱的一环。如果没有相应的管理工具,而且在用户之间共享,无疑它们很快就会失控。人们经常会将口令写下来,或将其存储在受保护的电子表格中。因为他们很难与团队成员共享而且需要手动操作,所以往往用户并不会过于频繁地更改口令。
在口令保险库中,凭证会存储在由访问控制策略控制且经过加密的安全位置。这是降低密码风险的第一步,但远远无法称得上一个完整的解决方案。
2. 口令自动化
即使将口令存储在加密的保管库中,而且采用了相应的访问策略和流程,它们仍然是静态的。这意味着有些用户还是可能将其记录下来,或复制、存储到其他位置。定期实施自动的口令轮换有助于降低此项风险。
3. 非人类帐户管理
组织倾向于重点关注人类用户所用的帐户和密码,例如管理员、开发人员和外部员工所用的帐户和密码,这是因为人类用户会犯错误。人类用户很容易遭受网络钓鱼和社会工程学攻击,也可能会收受贿赂或遭受威胁,有时候也会对雇主不满意。
不过组织经常会忽略用于指定服务、应用和机器间通信的帐户。这主要是与更改它们的操作风险有关。在一个针对一些高权限帐户的特定分析中,我们发现有大量的口令在十多年内都没有更改过。这背后的原因,公司表示,他们根本不知道更改口令会产生怎样的后果,换言之,更改口令的操作风险太大。即便是他们了解了相关风险,他们依然不会更改这些口令。这些口令最终会被放入到一个保管库中,但在此之前,它们都是存储在安装文档中的某个地方,这是另一个非常重要的情况。
特权访问管理解决方案则可以帮助管控这些帐户,并定期轮换口令,同时确保不会造成服务中断。攻击者知道口令通常都是静态的,这也是为什么密码一直是他们攻击目标的原因。通常,受操作风险影响,这些凭证都不会被设置过期日期或登录尝试失败限制,而这导致基础设施非常脆弱。
4. 第三方访问管理
许多公司通过托管安全服务的方式来维护防火墙、虚拟专用网络 (VPN),甚至是整个 IT 基础设施。这些通常都要求网络管理员授予外部各方对 IT 基础设施的访问权限,而且通常都是高权限。现在,你可以要求特定的安全措施和策略,但却无法控制或监控第三方的 IT 环境。如果服务提供商发生数据泄露,进而产生连锁,导致你的企业也发生数据泄露,你将如何?即使经济损失能够获得补偿,但不利的舆论和声誉仍旧无法挽回。
大多数特权访问管理解决方案都会提供会话管理功能,该功能能够将第三方访问与网络分开。你可以通过不需要口令的方式实施该功能;口令会在会话启动和登录过程填入,第三方则永远不会看到口令。该方法可确保问责制,记录活动的详细审计痕迹,同时允许安全团队在检测到可疑行为时终止正在进行的会话。
5. 会话管理
刚刚说到了第三方访问,那么你可能要考虑对自己的员工采用类似的访问限制。这种方式能够使员工的生活变得更轻松,因为这样他们就不需要记住、存储和输入这些口令。此外,从审计角度来看,你也能获得更丰富的信息,特别是如果将会话记录下来的话,以便可在随后进行重放。
6. 规避脆弱
可以通过口令轮换的方式,规避一些与系统相关的脆弱性。哈希传递攻击 (Pass the Hash) 就是一个很好的例子。该漏洞能够使攻击者连接到之前曾登录过受感染系统的其他系统。简单更改口令就可防止此威胁。因为口令一旦更改,哈希将不再正确。
7. 紧急访问配备
有些情况下,某些用户可能需要紧急访问系统;举例来说,当关键服务中断时,或常规管理员不可用时,就需要紧急更改某些内容,以恢复关键业务服务。在这些情况下,是没有时间执行审批流程的。
特权访问管理解决方案可以针对相关方实施紧急访问。举例来说,你可以设置某些具有广泛访问权限的帐户,但这些帐户在使用时会触发警报,以便从安全角度进行跟进。特权访问管理工具的另一个优势就是审计痕迹。
8. 审计与合规
目前有很多法规、标准和最佳实践。一般来说,它们有一个共同点:它们都要求实施变更程序,记录变更并证明变更过程符合相关程序。没有人会强迫通过工具或软件来做到这一点。虽然不切实际、容易出错且不够完整,但你可以根据需要跟踪书面程序上的变更。特权访问管理能够帮助实施程序、跟踪变更并记录报告的相关数据。
更多降低成本的方法
虽然上述内容已经帮助你实现并证明了积极的投资回报率,以下则是更多可以帮助你间接节省成本的具体方法。
1. 自动口令轮换
尽管口令轮换一直以来都是安全领域的良好实践之一,但它也可能需要满足特定的法规、标准和最佳实践。举例来说,《支付卡行业数据安全标准》(PCI DSS) 要求用户每 90 天轮换一次口令,而美国国家标准与技术研究院 (NIST) 则规定:只有在怀疑存在数据泄露时,口令才应过期。这两种标准在口令的长度、复杂性等方面都有自己的具体要求。ISO 27001 也就口令的更新频率、长度和复杂性给出了相应的要求。英国通信电子安全组织 (CESG) 建议组织定期更改管理员口令,但目前他们并未强制执行这一要求。无论遵循哪种标准,关键在于需求会随着时间而变化,因此,组织需要适应性地遵守标准。
即使从监管或认证的角度,你不需要遵守标准,也仍旧应在使用后或定期更改高权限帐户的口令。你可以通过手动设置分离式密码的方式实现这一点,而且最好由双方共同完成。但是,即使你对管理员有信心,即使他们只需要一个人便可做到这些,也需要投入大量的时间和金钱。这是一个成本高且容易出错的过程,每次法规变更时,你都需要这样做。
2. 提升工作效率
特权访问管理在提升工作效率方面有着双重的作用。自动会话管理和登录工具可以让员工更快、更轻松地访问系统和应用,从而节省时间和精力、提升工作效率。对于混合环境而言尤其如此。
当你针对外部各方使用会话时,他们就会知道他们将会被监控。虽然这种监控原本的目的在于提高安全性。通过监控,你还可以了解到他们的工作效率,促使他们高效地执行任务。
3. 减少管理员失误
如果服务中断一小时的话,你就会知道失误的平均成本有多少。你还可能知道一年内平均会发生多少次失误。当员工知道可以通过特权访问管理方案对其进行监控时,他们可能就会更加意识到自己在做什么。如果可以将人为失误率减少 10%,情况将会怎样?
4. 数据泄露后的恢复
想象一下:你在发生了一次数据泄露后,必须将系统恢复到更早的日期。这时你需要知道该系统在该时间点所用的口令。特权访问管理可以记录口令历史,在恢复过程中为你提供帮助。
如果发生数据泄露或可疑活动,你可能需要立即重置多个帐户的口令。如果已经实施特权访问管理方案和口令轮换,则只需启动一个任务即可实现这一点。轮换口令有助于制止或遏制正在发生的数据泄露。
5. 降低审计成本
特权访问管理能够跟踪谁使用了哪些帐户,这对于保证问责制非常重要,尤其是对于共享帐户而言更是如此。举例来说,你可以将帐户设为独占帐户,如此一来,一次就只会有一个用户访问系统。通过将系统事件与当时在该系统上处于活动状态的用户相关联,你的安全信息和事件管理 (SIEM) 流程将能够获得更多可视性并变得更有价值。
借助会话和记录功能,你可以获得更多详细信息。不只是某个用户做了什么,还可以看到他们所看到的内容。举例来说,如果某个用户连接到了数据库然后运行查询,你就可以看到他们所查看的查询结果。
让特权访问管理成为安全战略的核心
下次你需要提供审计信息时,切勿让某个员工花费数小时或数天的时间从各种系统中收集所有信息,然后对其进行格式处理并撰写报告。特权访问管理可以帮助你完成这些工作,除了安全性和合规性方面的功能之外,它还可以提供管理高价值帐户所需的功能,为你的员工提供支持,并向业务负责人保证他们的安全投资能够得到所期望的回报。