因能訪問公司最寶貴的信息，特權(quán)賬戶往往成為攻擊者競相追逐的目標(biāo)。

公司企業(yè)必須安全有效地管理特權(quán)訪問。

很多合規(guī)規(guī)定都對特權(quán)用戶管理提出了強(qiáng)安全控制建議。

為符合這些要求，預(yù)防災(zāi)難性數(shù)據(jù)泄露發(fā)生，公司企業(yè)在日常安全操作中實(shí)現(xiàn)了各種各樣的特權(quán)訪問管理 (PAM)。

但如何選擇合適的 PAM 解決方案?需要找尋哪些功能呢?

1. 持續(xù)發(fā)現(xiàn)特權(quán)賬戶你無法保護(hù)看不到的東西。

所以，發(fā)現(xiàn)網(wǎng)絡(luò)中每一個特權(quán)賬戶是必備功能。

PAM 解決方案應(yīng)能發(fā)現(xiàn)人類用戶和應(yīng)用所用的各種特權(quán)賬戶。

只要擁有了網(wǎng)絡(luò)中所有特權(quán)賬戶的完整可見性，就可以輕易擺脫不必要的管理員賬戶，指定哪個賬戶，或者哪個特定用戶，可以訪問哪些關(guān)鍵資產(chǎn)。

還可以更進(jìn)一步，通過刪除所有默認(rèn)管理員賬戶來夯實(shí)系統(tǒng)安全，實(shí)現(xiàn)最小權(quán)限原則或零信任安全方法。

實(shí)現(xiàn)這些功能的最大挑戰(zhàn)，是保持特權(quán)賬戶相關(guān)數(shù)據(jù)更新。

只要提權(quán)出了任何差錯，公司網(wǎng)絡(luò)安全就陷于嚴(yán)重風(fēng)險之中了。

2. 多因子身份驗(yàn)證多因子身份驗(yàn)證 (MFA) 功能是確保只有正確的人能夠訪問關(guān)鍵數(shù)據(jù)的必要方法。

這種方法還可以緩解惡意內(nèi)部人 “借用” 同事密碼的風(fēng)險，防止內(nèi)部人威脅。

大多數(shù) MFA 工具都提供兩種驗(yàn)證因子的組合：·所知(用戶憑證)·持有(生物特征、發(fā)送到用戶經(jīng)驗(yàn)證移動設(shè)備上的一次性密碼等)實(shí)現(xiàn)該功能的主要挑戰(zhàn)之一，是定義哪些終端和資產(chǎn)需要受到最嚴(yán)格的保護(hù)。

為避免給員工造成太大麻煩，應(yīng)只在必要的時間和位置實(shí)現(xiàn) MFA 功能。

3. 會話管理很多安全供應(yīng)商將特權(quán)訪問與會話管理 (PASM)，作為單獨(dú)的解決方案，或 PAM 軟件的一部分提供。

監(jiān)視和記錄特權(quán)會話的功能，為安全專家審計(jì)特權(quán)活動和調(diào)查網(wǎng)絡(luò)安全事件，提供了所需的全部信息。

實(shí)現(xiàn)該功能的主要挑戰(zhàn)，是將每一個記錄下的會話與特定用戶關(guān)聯(lián)起來。

在很多公司里，員工都會使用共享賬戶訪問各種各樣的系統(tǒng)和應(yīng)用。

如果他們使用相同的憑證，不同用戶發(fā)起的會話，就會被關(guān)聯(lián)到同一個共享賬戶上。

為解決該問題，PAM 應(yīng)能為共享賬戶和默認(rèn)賬戶提供次級身份驗(yàn)證功能。

如此一來，如果用戶以共享賬戶登錄系統(tǒng)，還需額外提供個人憑證，以便確認(rèn)該特定會話是由該特定用戶發(fā)起的。

4. 一次性密碼確保只有正確的用戶能夠獲得關(guān)鍵資產(chǎn)訪問授權(quán)的另一方式，是部署一次性密碼功能。

該功能最適用于授予第三方承包商訪問公司重要信息資產(chǎn)的適時 (JIT) 訪問權(quán)。

一次性密碼的有效期很短，而且不能重復(fù)使用，所以能夠降低數(shù)據(jù)泄露的風(fēng)險。

5. 用戶及實(shí)體行為分析 (UEBA)用戶及實(shí)體行為分析 (UEBA) 工具有助于早期警示特權(quán)賬戶被盜的事實(shí)。

UEBA 工具分析其他 PAM 工具記錄下的數(shù)據(jù)，包括會話記錄和日志，識別常規(guī)用戶行為模式。

如果特定用戶或?qū)嶓w的行為開始偏離其典型模式，系統(tǒng)就會將之標(biāo)為可疑。

UEBA 工具旨在幫助補(bǔ)全其他安全工具的遺漏，盡早檢測入侵。

目前，市場提供大量 UEBA 工具，既有獨(dú)立的 UEBA 解決方案，也有嵌入 UEBA 功能的安全解決方案。

想要恰當(dāng)管理特權(quán)訪問，PAM 或安全信息與事件管理 (SIEM) 解決方案最好包含 UEBA 功能。

6. 實(shí)時通知越早阻止攻擊，攻擊造成的影響就越小。

但若想能夠及時響應(yīng)潛在安全事件，你收到警報通知的時機(jī)應(yīng)是近實(shí)時的。

所以，選擇特權(quán)訪問管理解決方案的時候，一定要查看其是否具有良好的警報系統(tǒng)。

大多數(shù) PAM 解決方案都提供一套標(biāo)準(zhǔn)規(guī)則和警報。

比如說，每次系統(tǒng)記錄到特權(quán)賬戶登錄嘗試失敗，安全負(fù)責(zé)人就會收到通知。

或者更進(jìn)一步，為特定事件、活動，乃至用戶組創(chuàng)建自定義警報。

7. 詳盡報告與審計(jì)PAM 工具通常會收集大量數(shù)據(jù)：活動日志、鍵盤記錄、事件日志、會話記錄等等。

但若無法從中產(chǎn)生詳盡的報告，PAM 解決方案收集再多的有用數(shù)據(jù)都是徒勞。

因此，需具備根據(jù)自身特定需求產(chǎn)生不同類型報告的能力。

要特別注意可收入報告中的數(shù)據(jù)和信息的類型。

比如說，如果形成的報告能夠包含特權(quán)賬戶執(zhí)行的全部活動，或者納入非正常上班時間發(fā)起的所有特權(quán)會話，安全保護(hù)效果會好很多。

某些情況下，取證分析需調(diào)查安全事件，或者評估當(dāng)前安全系統(tǒng)的狀態(tài)。

因此，所選特權(quán)訪問管理解決方案最好具備取證導(dǎo)出功能。

若能將 PAM 解決方案與當(dāng)前 SIEM 集成，也是一個加分項(xiàng)。

這樣可以最大限度地利用 PAM 工具收集的數(shù)據(jù)，以更有效的方式分析潛在威脅。

結(jié)語特權(quán)訪問濫用可導(dǎo)致災(zāi)難性后果，使攻擊者得以輕松收集到最有價值、最重要的信息。

大多數(shù)合規(guī)監(jiān)管也要求特權(quán)訪問得到妥善保護(hù)與管理，盡管有時候這種要求是間接的。

所以，部署優(yōu)良的 PAM 解決方案，是每一家現(xiàn)代企業(yè)的必備步驟。