建立特權(quán)賬戶管理依舊是全球企業(yè)關(guān)注的焦點(diǎn)。Gartner稱，到2018年，25%的企業(yè)都將審核特權(quán)活動(dòng)并將數(shù)據(jù)泄露事件減少33%。特權(quán)賬戶管理(PAM)是最受企業(yè)歡迎的一個(gè)安全解決方案。

Gartner在一份報(bào)告中寫道：“2015年僅有少于5%的企業(yè)跟蹤、審查特權(quán)活動(dòng)。其余的企業(yè)最多在特權(quán)活動(dòng)發(fā)生時(shí)控制并記錄了時(shí)間，地點(diǎn)及人物，但它們并未關(guān)心真正發(fā)生了什么。除非企業(yè)跟蹤并審核特權(quán)活動(dòng)，企業(yè)都將遭遇內(nèi)部威脅，惡意用戶或會(huì)導(dǎo)致重要中斷的錯(cuò)誤的風(fēng)險(xiǎn)。”

除了合規(guī)性和運(yùn)營(yíng)效率之外，漏洞和內(nèi)部攻擊的防范已成為特權(quán)賬戶管理(PAM)采用的重要驅(qū)動(dòng)力。PAM是一套旨在幫助企業(yè)解決特權(quán)帳戶相關(guān)問(wèn)題的技術(shù)。

Gaehtgens補(bǔ)充說(shuō)：“IT企業(yè)在特權(quán)賬戶(如管理賬號(hào)，系統(tǒng)賬號(hào)或操作賬號(hào))訪問(wèn)控制方面承受著越來(lái)越多的業(yè)務(wù)及法律壓力。”

Gartner建議IT運(yùn)營(yíng)和安全領(lǐng)導(dǎo)采用一些效益和風(fēng)險(xiǎn)意識(shí)的特權(quán)訪問(wèn)管理的一些最佳實(shí)踐方法。

1：列下所有特權(quán)訪問(wèn)賬戶的清單并分配所有權(quán)

企業(yè)應(yīng)該將IT環(huán)境中所有權(quán)限級(jí)別超越標(biāo)準(zhǔn)用戶的特權(quán)賬號(hào)列入清單中。經(jīng)常掃描IT基礎(chǔ)設(shè)施以發(fā)現(xiàn)擁有過(guò)量權(quán)限的新賬戶是企業(yè)安全的最佳做法。Gaehtgens說(shuō)：“對(duì)于那些快速變化的動(dòng)態(tài)環(huán)境(如大規(guī)模使用虛擬化技術(shù)或包含云基礎(chǔ)設(shè)施的混合IT環(huán)境)，這點(diǎn)更加重要。企業(yè)應(yīng)該通過(guò)使用一些PAM供應(yīng)商提供的免費(fèi)自動(dòng)搜索工具來(lái)自動(dòng)發(fā)現(xiàn)IT設(shè)施內(nèi)未受管理的系統(tǒng)及賬號(hào)，但即使是這樣的自動(dòng)搜索工具也無(wú)法發(fā)現(xiàn)所有的異常。”

2：不要共享共享的帳戶密碼

黃金規(guī)則是共享帳戶密碼不得隨便共享。即使在授權(quán)客戶之間，共享密碼也嚴(yán)重?fù)p害了個(gè)人利益;這是安全的最佳做法以及法規(guī)遵從性的要求。這樣更有可能會(huì)讓密碼泄露到其他人手上。

3：盡量減少個(gè)人及共享特權(quán)帳戶的數(shù)量

企業(yè)應(yīng)該取消，至少是大幅度將超級(jí)用戶權(quán)限減少到和企業(yè)業(yè)務(wù)需求相一致的數(shù)量。遷移到共享特權(quán)帳戶是推薦的做法;然而，這需要適當(dāng)?shù)墓ぞ摺Ｈ绻麤](méi)有共享帳戶密碼管理工具，管理這樣的賬號(hào)引起的風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)是非常低效且復(fù)雜的。

4：建立共享帳戶使用管理的流程及控制方法

企業(yè)需建立共享賬號(hào)及其密碼管理的流程及控制方法。盡管企業(yè)可以采用人工方法管理特權(quán)訪問(wèn)，但這實(shí)在太繁瑣了。沒(méi)有使用專用PAM工具根本無(wú)法實(shí)施這種做法。

IT運(yùn)營(yíng)和安全的領(lǐng)導(dǎo)者需要使用PAM工具來(lái)自動(dòng)化這個(gè)流程，加強(qiáng)控制并提供個(gè)人問(wèn)責(zé)制的審計(jì)跟蹤記錄。這些工具非常成熟(+微信關(guān)注網(wǎng)絡(luò)世界)，可以向超級(jí)用戶用一種強(qiáng)大，受控，負(fù)責(zé)任的方式提供一種高效和有效的密碼管理方法，它們可以讓企業(yè)滿足法律合規(guī)性對(duì)受限訪問(wèn)和個(gè)人問(wèn)責(zé)法的要求。

5：為常規(guī)(非特權(quán))訪問(wèn)的用戶提供權(quán)限提升

通常，管理員也擁有在日常工作(如閱讀郵件，瀏覽網(wǎng)絡(luò)，訪問(wèn)公司應(yīng)用，創(chuàng)建并查看信息等)中使用的個(gè)人非特權(quán)賬號(hào)。Gaehtgens稱：“不要向這些賬號(hào)分配超級(jí)用戶權(quán)限，這樣可能會(huì)導(dǎo)致意外操作或會(huì)造成重大影響的惡意軟件。相反，企業(yè)應(yīng)該提供權(quán)限提升來(lái)允許特權(quán)命令的臨時(shí)執(zhí)行。”

【編輯推薦】