立特權賬戶管理依舊是全球企業關注的焦點。gartner稱,到2018年,25%的企業都将稽核特權活動并将資料洩露事件減少33%。特權賬戶管理(pam)是最受企業歡迎的一個安全解決方案。
gartner在一份報告中寫道:“2015年僅有少于5%的企業跟蹤、審查特權活動。其餘的企業最多在特權活動發生時控制并記錄了時間,地點及人物,但它們并未關心真正發生了什麼。除非企業跟蹤并稽核特權活動,企業都将遭遇内部威脅,惡意使用者或會導緻重要中斷的錯誤的風險。”
除了合規性和營運效率之外,漏洞和内部攻擊的防範已成為特權賬戶管理(pam)采用的重要驅動力。pam是一套旨在幫助企業解決特權帳戶相關問題的技術。
gaehtgens補充說:“it企業在特權賬戶(如管理賬号,系統賬号或操作賬号)通路控制方面承受着越來越多的業務及法律壓力。”
gartner建議it營運和安全上司采用一些效益和風險意識的特權通路管理的一些最佳實踐方法。
1:列下所有特權通路賬戶的清單并配置設定所有權
企業應該将it環境中所有權限級别超越标準使用者的特權賬号列入清單中。經常掃描it基礎設施以發現擁有過量權限的新賬戶是企業安全的最佳做法。gaehtgens說:“對于那些快速變化的動态環境(如大規模使用虛拟化技術或包含雲基礎設施的混合it環境),這點更加重要。企業應該通過使用一些pam供應商提供的免費自動搜尋工具來自動發現it設施内未受管理的系統及賬号,但即使是這樣的自動搜尋工具也無法發現所有的異常。”
2:不要共享共享的帳戶密碼
黃金規則是共享帳戶密碼不得随便共享。即使在授權客戶之間,共享密碼也嚴重損害了個人利益;這是安全的最佳做法以及法規遵從性的要求。這樣更有可能會讓密碼洩露到其他人手上。
3:盡量減少個人及共享特權帳戶的數量
企業應該取消,至少是大幅度将超級使用者權限減少到和企業業務需求相一緻的數量。遷移到共享特權帳戶是推薦的做法;然而,這需要适當的工具。如果沒有共享帳戶密碼管理工具,管理這樣的賬号引起的風險和控制風險是非常低效且複雜的。
4:建立共享帳戶使用管理的流程及控制方法
企業需建立共享賬号及其密碼管理的流程及控制方法。盡管企業可以采用人工方法管理特權通路,但這實在太繁瑣了。沒有使用專用pam工具根本無法實施這種做法。
it營運和安全的上司者需要使用pam工具來自動化這個流程,加強控制并提供個人問責制的審計跟蹤記錄。這些工具非常成熟,可以向超級使用者用一種強大,受控,負責任的方式提供一種高效和有效的密碼管理方法,它們可以讓企業滿足法律合規性對受限通路和個人問責法的要求。
5:為正常(非特權)通路的使用者提供權限提升
通常,管理者也擁有在日常工作(如閱讀郵件,浏覽網絡,通路公司應用,建立并檢視資訊等)中使用的個人非特權賬号。gaehtgens稱:“不要向這些賬号配置設定超級使用者權限,這樣可能會導緻意外操作或會造成重大影響的惡意軟體。相反,企業應該提供權限提升來允許特權指令的臨時執行。”
本文轉自d1net(轉載)
![Web 開發常見安全問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)