建立特权账户管理依旧是全球企业关注的焦点。Gartner称,到2018年,25%的企业都将审核特权活动并将数据泄露事件减少33%。特权账户管理(PAM)是最受企业欢迎的一个安全解决方案。
Gartner在一份报告中写道:“2015年仅有少于5%的企业跟踪、审查特权活动。其余的企业最多在特权活动发生时控制并记录了时间,地点及人物,但它们并未关心真正发生了什么。除非企业跟踪并审核特权活动,企业都将遭遇内部威胁,恶意用户或会导致重要中断的错误的风险。”
除了合规性和运营效率之外,漏洞和内部攻击的防范已成为特权账户管理(PAM)采用的重要驱动力。PAM是一套旨在帮助企业解决特权帐户相关问题的技术。
Gaehtgens补充说:“IT企业在特权账户(如管理账号,系统账号或操作账号)访问控制方面承受着越来越多的业务及法律压力。”
Gartner建议IT运营和安全领导采用一些效益和风险意识的特权访问管理的一些最佳实践方法。
1:列下所有特权访问账户的清单并分配所有权
企业应该将IT环境中所有权限级别超越标准用户的特权账号列入清单中。经常扫描IT基础设施以发现拥有过量权限的新账户是企业安全的最佳做法。Gaehtgens说:“对于那些快速变化的动态环境(如大规模使用虚拟化技术或包含云基础设施的混合IT环境),这点更加重要。企业应该通过使用一些PAM供应商提供的免费自动搜索工具来自动发现IT设施内未受管理的系统及账号,但即使是这样的自动搜索工具也无法发现所有的异常。”
2:不要共享共享的帐户密码
黄金规则是共享帐户密码不得随便共享。即使在授权客户之间,共享密码也严重损害了个人利益;这是安全的最佳做法以及法规遵从性的要求。这样更有可能会让密码泄露到其他人手上。
3:尽量减少个人及共享特权帐户的数量
企业应该取消,至少是大幅度将超级用户权限减少到和企业业务需求相一致的数量。迁移到共享特权帐户是推荐的做法;然而,这需要适当的工具。如果没有共享帐户密码管理工具,管理这样的账号引起的风险和控制风险是非常低效且复杂的。
4:建立共享帐户使用管理的流程及控制方法
企业需建立共享账号及其密码管理的流程及控制方法。尽管企业可以采用人工方法管理特权访问,但这实在太繁琐了。没有使用专用PAM工具根本无法实施这种做法。
IT运营和安全的领导者需要使用PAM工具来自动化这个流程,加强控制并提供个人问责制的审计跟踪记录。这些工具非常成熟(+微信关注网络世界),可以向超级用户用一种强大,受控,负责任的方式提供一种高效和有效的密码管理方法,它们可以让企业满足法律合规性对受限访问和个人问责法的要求。
5:为常规(非特权)访问的用户提供权限提升
通常,管理员也拥有在日常工作(如阅读邮件,浏览网络,访问公司应用,创建并查看信息等)中使用的个人非特权账号。Gaehtgens称:“不要向这些账号分配超级用户权限,这样可能会导致意外操作或会造成重大影响的恶意软件。相反,企业应该提供权限提升来允许特权命令的临时执行。”
作者:plutolin
来源:51CTO
