特权访问管理应遵循的10个最佳实践

特权账户往往能够访问到企业中最重要的数据和信息，因此会成为攻击者竞相追逐的目标。为了保障数字化业务的安全开展，组织必须对各种特权账号的使用情况和异常行为进行有效的监控和管理。但在实际应用中，企业要真正落地特权访问管理（PAM）并不容易，需要借助全面技术策略的支撑，实现对所有数字化资产的特权账户可见和可控。

研究人员发现，很多特权账户的使用者并不能充分了解对特权账号的管理要求，往往为了简化日常工作流程，而忽视了安全后果。企业在开展特权访问管理时，会经常面临以下常见的挑战：

保护特权账户包括很多方面的要求，由于企业的IT环境在不断变化，特权账户的归属也在不断变化。当发生人事变动，或者进行了系统应用升级时，特权账户的使用情况也将发生变化，如果不能进行妥善处理，就会留下内部账户权限过大、僵尸特权账号等安全隐患。此外，密码是保护特权账户不被非法使用的关键，有很多安全管理密码的建议，比如使用复杂的密码和定期更新密码，但很少有人愿意去做。

特权账号应该只授予那些为了完成工作而实际需要它们的人。但在实际工作中，特权账户却常常被运维人员违规共享和滥用。有一种常见的情况是，一个团队会共享一个特权账户来管理相关应用程序、网站或云存储服务，因为创建多个特权账户需要经历多次审批流程。违规共享特权账户将会大大降低其应用可见性，如果有多人使用同一个特权账户，将无法分辨到底谁做了什么。一旦发生了安全事件，也无法判断该由谁来负责。

当特权账户的使用频率超过工作所需时，就会增加组织的安全隐患和脆弱性，因此需要对其进行合理授权，持续监管，并严禁用特权账户执行日常性工作任务。但是，即便企业将此定为安全管理制度中的一项明确要求，特权用户也往往会忽略或破坏它。

无论企业的网络安全管理制度中制定了什么规则，都可能会有人不遵守这些规则。甚至很多员工会认为：我们没有被攻击的价值，因此不需要那么多的安全防护。然而，今天的网络攻击是无孔不入的。因此，企业应该重视并加强网络安全意识培训，使包括特权用户在内的所有员工都养成遵守组织安全政策的工作习惯。

日前，安全研究人员收集整理了有效进行特权访问管理的10个最佳实践，可以为企业组织后续开展PAM建设工作提供参考。

企业开展特权访问管理的第一步就是要梳理和识别出组织究竟有多少特权账户。研究数据显示，一个企业中的特权账户数量往往是普通账户数量的3-4倍。显然，要充分掌握有哪些特权账户是一件非常复杂的工作。企业还需要定期对自己的所有账户资产进行系统整理，并且对和资产相关的所有权限进行整理与管理。

最小特权原则（POLP）是任何身份和访问管理（IAM）策略中的最佳实践。执行POLP意味着消除长期性的特权使用，特权账户并不可以被无限制地赋予不需要的管理权限，从特权账户建立开始，就需要对其进行合理的权限使用限制。在权限提升时，应该有非常具体的理由才有望批准，还要有约束属性，比如位置、设备和操作类型。

零信任安全模型与传统观念形成了对比。在零信任安全模型中，除非用户和设备经过检查、通过身份验证，否则被拒绝访问资源。从长期看，PAM 建设应该有效融合到零信任建设的范畴中，无论是用户、设备、应用程序还是请求网络访问的API，在被有效验证身份和真实性之前，拒绝其对资源的访问将是默认选项。

企业的人员在不断变化，因此需要根据人员与IT环境的变化追踪每个特权用户是否依然有必要保留之前的权限。针对账户的权限变化进行监控，也能防止异常的特权账户使用行为。

组织应该将管理账户与业务账户区分开，并将管理账户中的审计功能与读取、编辑、写入和执行等系统功能分开来。只有确保每个特权账户只拥有执行特定任务的特权，并消除不同账户之间的重叠，才能真正建立起有效的特权访问管理系统。当新的组件和资产被添加到网络中时，实现自动化资产发现、所有权归属和访问评估是非常有必要的，如果发现任何违规和异常行为，应该立刻撤销用户的特权。

基于属性的访问控制（ABAC）可以确保组织用更可靠的方法来制定针对不同访问对象的管控策略，从而确保它们受到安全的保护，远离非法的用户访问。除了角色和资产外，ABAC还包括操作行为和环境，其中操作行为（读取、写入、复制和删除）定义了用户可以对访问对象做什么，而环境则根据更广泛的上下文，明确了相应资源何时在何地被使用，包括设备本身和相关的支持协议。

特权用户监控（PUM）不应被视为一次性、阶段性的工作。如果仅定期执行用户活动监控，则无法确保用户操作的完全可见性或正确保护关键数据。PUM是一个持续的过程，需要不断改进。确保不断改进特权用户监视和管理过程，并使用PUM最佳实践和先进技术解决方案增强它们。此外，特权会话管理（PSM）也是一项必备的功能，便于管理员控制、监测和记录所有的特权使用会话，保证任何可疑活动被及时发现和消除。

加强对共享账户的管理对于保障特权访问安全至关重要。尽管共享特权账户很方便，但却阻碍了用户活动监控和审计的过程，因为如果不使用特定的工具，很难区分用户的行为。企业可以利用辅助用户身份验证措施，对需要共享账户的所有用户进行身份区分，同时有效地审计和监控他们的活动。

每家企业的IT环境都有所不同，因此企业需要根据自己的需求进行特权访问管理技术手段应用和部署。企业应该和专业的PAM服务商合作，在企业特性应用需求以及自身网络环境的基础上，打造适合企业的PAM管理方案。由于大多数网络安全解决方案仅支持种类有限的终端操作系统平台，如何实现跨平台的全面管理也是PAM建设中需要重点考虑的问题。

企业要使用可靠的打碎玻璃（break-glass）方法，针对可能的攻击事件恢复场景做好提前规划和准备。一旦系统发现特权账号存在异常活动行为，其访问会话应该被自动关闭，从而防止威胁分子的进一步渗入和恶意利用。在特权滥用导致真实的攻击事件发生后，企业应该使用高可用性设计和高级灾难恢复流程（比如热站点或冷站点，而不是简单的本地备份和恢复），确保业务系统应用的连续性和弹性。

组织安全意识培训对于有效监控特权用户非常重要。没有适当的网络安全知识的用户可能不理解监控它们的必要性，甚至可能试图欺骗或破坏所实施的安全工具和策略。增强员工的网络安全意识可以减少特权用户的犯错次数，使他们更加注意赋予他们的特权，并增加他们遵守公司建立的网络安全程序的意愿。此外，当知道如何识别网络安全威胁时，员工也更有可能注意到可疑活动并上报。

https://heimdalsecurity.com/blog/privileged-access-management-pam-best-practices/