特权访问管理全生命周期方法论将特权访问作为一个连续的过程来管理,而不是一个一次性的项目。从生命周期的角度来看,特权访问管理共分为7个阶段,分别是:定义、发现、管理和保护、监控、检测、行动响应、和审查与审计。
PAM计划的定义阶段是后续一切工作的基础,因此它最耗时,也涉及最多的利益相关者。任何公司都无法做到给每个数据资产都配备保护措施,因此您必须优先考虑最关键的密钥所在的位置、谁使用它们、何时使用以及用于什么目的。这并不仅仅是IT部门的事,而是必须让高管、业务部门经理和数据所有者共同参与,以便充分了解哪种特权访问组合适合您的公司。
制定PAM计划前需要进行风险评估,对于PAM专家而言,这个风险评估流程必须是连续的、集成的和自动化的。首先,需要定义“特权访问”的含义。之后,确定您的公司的特权账号是什么。然后,制定相应的治理策略。每家公司的决策各不相同,因此您必须确定哪些重要的业务功能依赖于数据、系统和访问权限。了解谁拥有特权账号访问权限,以及何时使用这些特权账号,这对于管理PAM计划的范围和复杂性至关重要。
PAM计划的定义阶段是后续一切工作的基础,因此它最耗时,也涉及最多的利益相关者。任何公司都无法做到给每个数据资产都配备保护措施,因此您必须优先考虑最关键的密钥所在的位置、谁使用它们、何时使用以及用于什么目的。这并不仅仅是IT部门的事,而是必须让高管、业务部门经理和数据所有者共同参与,以便充分了解哪种特权访问组合适合您的公司。
制定PAM计划前需要进行风险评估,对于PAM专家而言,这个风险评估流程必须是连续的、集成的和自动化的。首先,需要定义“特权访问”的含义。之后,确定您的公司的特权账号是什么。然后,制定相应的治理策略。每家公司的决策各不相同,因此您必须确定哪些重要的业务功能依赖于数据、系统和访问权限。了解谁拥有特权账号访问权限,以及何时使用这些特权账号,这对于管理PAM计划的范围和复杂性至关重要。
安全访问涉及本地和IaaS、PaaS、SaaS等云系统和服务,因此,对于IT管理员和特权账号用户,您必须在粒度级别上控制对工作站、服务器、容器和云平台控制台的访问。
自动化控制是大规模管理和保护特权账号的唯一方法。在登录和权限提升时,可通过密码轮换和多因素身份验证要求控制特权账号访问。可实施主动服务账号治理以防止服务账号蔓延,实施特权提升和委派管理 (PEDM),来防止攻击者提升特权、运行恶意应用程序、远程访问工具和命令以及横向移动。
• 对于希望通过工作站访问应用程序的用户,您应授予他们应用程序权限,而不是增加风险的本地管理员权限。这种PEDM方法增加了攻击者访问管理权限必须采取的步骤数量。最小权限策略和应用程序控制解决方案能够无缝提升已批准的应用程序,同时将运行未经授权的应用程序的风险降至最低。
• 在第三方管理防火墙或应用程序的情况下,您可以选择授予有时限的、非持久的权限,这些权限仅为特定应用程序提供管理权限。
监控功能可以在细粒度级别监控和记录所有特权账号活动。通过加强监督,监控可以强制执行适当的行为。它还可以帮助您确定账号是否已被盗用。如果确实发生了违规行为,监控有助于数字取证,以确定根本原因及可以改进的关键控制措施,从而降低网络安全威胁的风险。
具体来说,监控功能可以在保险库级别或主机级别实施会话记录,这在您的密码保险库被绕过的时候尤其有用。
此外,可以将监控集成为管理员用来打开远程连接的会话启动器的一部分。对于虚拟私有云或 AWS等云平台,您应确保您的IP地址是进入您网络的唯一可信路径,并且连接是源自代理的。
有了监控,您就有机会发现特权滥用和账号泄露的情况。但是,IT人员没有那么多时间来查看特权账号活动日志,因为这就像大海捞针。那么如何可以快速发现这些问题呢?行为分析解决方案可帮助您了解这些信息。他们确定正常特权活动的基线,例如包括用户活动、密码访问、类似用户行为和访问时间。当检测到异常的特权账号活动时,行为分析系统可以向您发送警报。然后,您就可以据此来确定需要采取的行动。
面对风险的行动响应,取决于风险的程度。例如,如果服务账号被盗用,轮换密码可能就足够了。但是,如果域管理员账号被盗用,轮换是不够的。在这种情况下,您应该假设您的整个Active Directory都受到了影响,并且您可能需要进行重建,从而使攻击者无法轻易返回。
AI驱动的警报和报告有助于跟踪安全事件的原因,并确保用户行为遵守政策和法规。审核特权账号还可为管理层提供重要信息,帮助他们做出更明智的业务决策。几乎全球所有网络安全法规都要求PAM安全控制,例如访问控制、密码复杂性和轮换以及最小权限策略。
内部审计可以帮助团队为外部审计做好准备。作为审计过程的一部分,将您的PAM策略需要与适用于您公司的法律中概述的安全控制相对应起来,并确保满足合规的最后期限。