在早期阶段,特权访问管理 (PAM) 只涉及保护用于特权帐户的密码。但在随后的几年里,它的发展超出了这个单一的目的。如今,它包括其他安全功能,如多因素身份验证(MFA)、会话监控、代理和用户行为分析(UBA)。看看这些如何连接以获得更好的整体保护。
不断变化的威胁环境中的 PAM
要了解原因,查看数字攻击者的工作方式以及他们希望窃取的数据类型很有用。2021 年数据泄露调查报告 (DBIR) 提供了对两者的一瞥。Verizon Enterprise发现,凭据是最抢手的数据泄露事件,其中超过四分之一的事件始于数字 入侵。为了做到这一点,攻击者试图窃取一组授权的凭据。
现实情况是,其中一些攻击者不仅尝试了:他们成功了。与此同时,特权访问管理也随之发展。凭证仅由用户名和密码组成,有人可以利用这些信息进行网络钓鱼、拦截或以某种方式暴露在外。这些信息很容易落入怀有恶意的人手中。因此,一心一意的 PAM 策略很容易失败。
不仅仅是密码保护
但是,与此同时,这不是重点。特权访问管理不是密码管理。这是关于保护对特权帐户的访问。MFA、UBA 和 PAM 的新元素都有助于确保在有人窃取一组受信任的凭据时访问仍然受到限制。他们甚至可以帮助安全团队发现有人成功访问了特权帐户。
毕竟,威胁行为者不会让这种访问浪费掉。他们将利用这些特权尝试进行侦察、横向移动网络并删除敏感信息。他们所需要的只是足够的时间。
时间不是普通攻击者需要担心的事情。在2020年的成本数据泄露的报告发现,数据泄露带着280天的平均停留时间。这意味着攻击者有将近一年的时间从受害者的网络中收集他们所能收集的信息。
那么,那如何防止它影响组织?为了充分利用特权访问管理,请将其用作分层防御策略的一部分。这种方法不仅仅需要管理特权访问凭证。它还涉及保护关键资产,以便防御团队可以发现潜在的妥协和/或横向移动实例。
有时说起来容易做起来难。多年前,大多数企业和机构都没有任何虚拟化应用程序或工作负载。数据中心存在于内部,企业网络位于办公楼的物理范围内。因此,他们专注于使用端点检测和响应 (EDR) 解决方案来加强端点的安全性。
问题是 EDR 没有考虑容器、云、应用程序和最近添加的内容。您需要基于 EDR 的扩展检测和响应(XDR),通过使用关键数据和遥测来扩展所有关键资产的可见性。
XDR 及其他
XDR 也不是阻止恶意行为者滥用特权帐户的唯一方法。如果有人确实接管了帐户,组织需要确保参与者无法以允许他们走开的方式访问他们的任何敏感信息。例如,网络监控工具可以帮助安全团队了解并阻止这些尝试,而加密可以通过防止恶意行为者以明文形式查看数据来帮助保护数据。
显然,特权访问管理包含一些重要的安全功能。但这并不意味着要取代您的整个策略。相反,它作为该战略的一部分发挥了最佳作用。
原文始发于微信公众号(河南等级保护测评):特权访问管理如何融入分层安全策略
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论