特权访问管理（PAM）Top10

    特权访问环境的问题是复杂、多样的，多年来它一直在不断发展，以支持不断变化 的企业IT用例。在此背景下，特权访问管理的使用不再局限于系统管理员和根管理员 。特权访问管理的角色和重要性已经渗透到许多需要管理级别或提高对机密信息、数据库和秘密的访问权限的IT进程中。 如下图所示，现代IT环境中的特权用户数量正呈指数级增长。特权id ，即为特权用户创建的登录凭据，是网络犯罪分子的宝库，因为它们 是一个组织中最机密资产的网关。  

图1:特权访问管理中的各种环境

因此，一个健壮的特权访问管理 (PAM) 解决方案对于任何行业中 的任何组织都是非常必要的。然而，IT实践中一些未被讨论的漏洞 可能会影响特权帐户的整体安全性。

特权访问管理（PAM）Top10

1 . 共享凭据

密码的漏洞在共享和分布式环境中更为明显。如果特权帐户或凭据由多 个用户共享，则信息资产更容易出现受损元素的安全漏洞。

2 . 手动管理特权密码

为了便于管理，复杂的密码策略经常被忽略。重要的是要知道，一些  IT标准和法规要求在较短的时间间隔内频繁地更改特权id的密码。虽然手动管理成百上千个企业特权密码是一个乏味的过程，但它也扩展了威胁向量。

3 . 硬编码的应用程序凭据

在应用程序开发/配置文件/打开脚本中使用的硬编码和明文本凭据对业 务系统构成了很大程度的风险。硬编码的密码/凭证在本质上是通用的 。由于保留硬编码密码的做法不遵循密码管理的一般规则，因此不问责 和密码盗窃所产生的剩余风险始终存在。

4 . 未能详细列出特权帐户

组织往往没有或很少关注IT生态系统中存在的特权帐户的数量。在没 有包含所有特权帐户和特权帐户的列表的情况下，就会出现特权访问 环境中的盲点。如果它周围没有组织或进程，特权访问管理将仍然容 易受到攻击。这些不受管理的账户可能会成为数据泄露的来源。因此 ，在系统、设备和应用程序上发现特权帐户对于确保安全的PAM访问至 关重要。随后，这些帐户必须在PAM解决方案中自动登录。

5 . 未能识别特权身份的生命周期

发现所有特权帐户的工作已经完成了一半。如果IT安全人员未能有效  地管理特权身份的生命周期，则特权帐户可能会被滥用/滥用。最好是 确保特权帐户中的所有更改都被记录下来。必须有明确的问题，我们可 以访问特权帐户，然后跟踪和适当的会计这些帐户。

6.没有多因素身份验证

健壮的最终用户身份验证的一般经验法则是在请求和访问之间有更多的 身份验证层。它有助于验证信任关系。它为数据资产的安全性提供了更 健壮性。多层用户身份验证很难绕过身份验证过程。因此，缺乏MFA将 帮助黑客通过使用网络钓鱼、社会工程等各种工具来破坏业务关键型数 据。

7 . 没有警报

在IT安全技术中，在决定所需的操作之前，必须仔细阅读每个警报。 在IT生态系统中流行的所有关键服务器和应用程序都应该有一种机制 ，可以为每次登录、登录请求，甚至是在登录后执行的任务发出警报 。如果没有PAM，组织就不会激活所有现有服务器或数据库的警报，从 而使自己处于危险之中，这最终增加了IT风险。一些需要的警报可能 如下：

服务器访问请求警报

特殊时间段告警

异常持续登录时间告警

异常登录地点

登录设备(IP地址)

撤销有关临时提升访问权限的警报

哪个最终用户正在访问哪个数据库？

在预定义任务之外发生的任何活动

根据临时任务执行的任务

在任务之间的登录IP的更改

8 . 无工作流矩阵

在一个庞大的企业IT基础设施中，管理员经常收到来自工作人员的批  准请求。这些日常请求包括访问关键应用程序、软件许可证、补丁更新 、密码重置或可能访问新的硬件信息。

在这些基于需求的情况下，许多组织都面临着这些问题

缺乏可以验证和限制用户的选项。服务请求工作流 (SRW) 提供了一个 全面的工作流矩阵，使管理员的生活更容易。它配置单个特权用户和用 户组的请求批准。它能够加快审批流程，并防止不必要的额外时间来访 问关键的应用程序或系统。因此，如果没有SRW，组织就会引发响应延 迟、工作效率低下和可疑请求的风险。

9 . 始终打开的权限

由于云计算、虚拟化和DevOps实践的增加，特权账户呈指数级增长。因 此，风险表面也就扩大了。在分布式环境中管理和控制特权活动总是  管理员面临的一个挑战。

恶意行为者总是在寻找由过度的地位特权所产生的漏洞。在极端情 况下，它会导致财务和声誉的损害。

在这种背景下，即时特权已经成为现代数字工作场所中绝对必要的实 践。它消除了“永远在线”特权实践中的风险，并帮助组织遵循最小特 权的原则。

1 0 . 没有主环境、高可用性环境和灾难恢复环境

我们是否更愿意在生活的每个领域都依赖于一个单一的计划？如果a计 划因任何原因失败，我们确实保留了B计划选项。

类似地，在IT安全行业中，有替代方案总是明智的，特别是对于高速特 权访问环境。建议为PAM服务器实现主环境、高可用性环境和灾难恢复 环境，以确保解决方案的24*7可用性。

结论

特权账户无处不在。特权访问不同于其他正常访问，因为前者授予对系统的 高级访问。因此，需要减轻与特权访问相关联的风险。实现本白皮书中讨论 的最佳实践，以及随后通过ARCON | PAM等健壮的解决方案实现PAM任务的自 动化，显著降低了PAM的安全风险。

 

原文始发于微信公众号（KK安全说）：特权访问管理（PAM）Top10