设为首页 - 加入收藏 贤淑网 (http://www.xianshufang.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: javascript vivo 2018 redis
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

特权访问管理已经不局限于安全合规

发布时间:2019-10-10 02:01 所属栏目:[策划] 来源:佚名
导读:特权访问管理 (PAM) 工具可提供一些重要的安全性和合规性优势,便于企业构建业务案例。不过,这些优势利用起来可能会比较复杂,因为它们大多数都是无形的。换句话说,这些优势都是基于这一假设情景:一旦发生了安全泄露,会给组织带来什么成本?根据组织所

特权访问管理 (PAM) 工具可提供一些重要的安全性和合规性优势,便于企业构建业务案例。不过,这些优势利用起来可能会比较复杂,因为它们大多数都是无形的。换句话说,这些优势都是基于这一假设情景:一旦发生了安全泄露,会给组织带来什么成本?根据组织所在的地区和行业,你可以计算出从数据泄露中恢复所需的成本。

特权访问管理已经不局限于安全合规

特权访问管理通常被视为一种必要的 “恶魔”,即一种提升公司安全性和合规性所需的工具,但是却几乎无法带来额外的价值。这种观点其实是一种误解。

特权访问管理如何推动企业提升投资回报?

除了无形的优势之外,特权访问管理还能够带来一些可衡量的优势,这些可帮助判断对特权访问管理解决方案的投资是否合理。下面,我们将深入探讨特权访问管理技术为组织创造价值的多种方式,以及如何更好的向业务领导展示安全投资回报 (ROSI)。

1. 口令保管

通常而言,口令是最薄弱的一环。如果没有相应的管理工具,而且在用户之间共享,无疑它们很快就会失控。人们经常会将口令写下来,或将其存储在受保护的电子表格中。因为他们很难与团队成员共享而且需要手动操作,所以往往用户并不会过于频繁地更改口令。

在口令保险库中,凭证会存储在由访问控制策略控制且经过加密的安全位置。这是降低密码风险的第一步,但远远无法称得上一个完整的解决方案。

2. 口令自动化

即使将口令存储在加密的保管库中,而且采用了相应的访问策略和流程,它们仍然是静态的。这意味着有些用户还是可能将其记录下来,或复制、存储到其他位置。定期实施自动的口令轮换有助于降低此项风险。

3. 非人类帐户管理

组织倾向于重点关注人类用户所用的帐户和密码,例如管理员、开发人员和外部员工所用的帐户和密码,这是因为人类用户会犯错误。人类用户很容易遭受网络钓鱼和社会工程学攻击,也可能会收受贿赂或遭受威胁,有时候也会对雇主不满意。

不过组织经常会忽略用于指定服务、应用和机器间通信的帐户。这主要是与更改它们的操作风险有关。在一个针对一些高权限帐户的特定分析中,我们发现有大量的口令在十多年内都没有更改过。这背后的原因,公司表示,他们根本不知道更改口令会产生怎样的后果,换言之,更改口令的操作风险太大。即便是他们了解了相关风险,他们依然不会更改这些口令。这些口令最终会被放入到一个保管库中,但在此之前,它们都是存储在安装文档中的某个地方,这是另一个非常重要的情况。

特权访问管理解决方案则可以帮助管控这些帐户,并定期轮换口令,同时确保不会造成服务中断。攻击者知道口令通常都是静态的,这也是为什么密码一直是他们攻击目标的原因。通常,受操作风险影响,这些凭证都不会被设置过期日期或登录尝试失败限制,而这导致基础设施非常脆弱。

4. 第三方访问管理

许多公司通过托管安全服务的方式来维护防火墙、虚拟专用网络 (VPN),甚至是整个 IT 基础设施。这些通常都要求网络管理员授予外部各方对 IT 基础设施的访问权限,而且通常都是高权限。现在,你可以要求特定的安全措施和策略,但却无法控制或监控第三方的 IT 环境。如果服务提供商发生数据泄露,进而产生连锁,导致你的企业也发生数据泄露,你将如何?即使经济损失能够获得补偿,但不利的舆论和声誉仍旧无法挽回。

大多数特权访问管理解决方案都会提供会话管理功能,该功能能够将第三方访问与网络分开。你可以通过不需要口令的方式实施该功能;口令会在会话启动和登录过程填入,第三方则永远不会看到口令。该方法可确保问责制,记录活动的详细审计痕迹,同时允许安全团队在检测到可疑行为时终止正在进行的会话。

5. 会话管理

刚刚说到了第三方访问,那么你可能要考虑对自己的员工采用类似的访问限制。这种方式能够使员工的生活变得更轻松,因为这样他们就不需要记住、存储和输入这些口令。此外,从审计角度来看,你也能获得更丰富的信息,特别是如果将会话记录下来的话,以便可在随后进行重放。

6. 规避脆弱

可以通过口令轮换的方式,规避一些与系统相关的脆弱性。哈希传递攻击 (Pass the Hash) 就是一个很好的例子。该漏洞能够使攻击者连接到之前曾登录过受感染系统的其他系统。简单更改口令就可防止此威胁。因为口令一旦更改,哈希将不再正确。

7. 紧急访问配备

有些情况下,某些用户可能需要紧急访问系统;举例来说,当关键服务中断时,或常规管理员不可用时,就需要紧急更改某些内容,以恢复关键业务服务。在这些情况下,是没有时间执行审批流程的。

特权访问管理解决方案可以针对相关方实施紧急访问。举例来说,你可以设置某些具有广泛访问权限的帐户,但这些帐户在使用时会触发警报,以便从安全角度进行跟进。特权访问管理工具的另一个优势就是审计痕迹。

8. 审计与合规

目前有很多法规、标准和最佳实践。一般来说,它们有一个共同点:它们都要求实施变更程序,记录变更并证明变更过程符合相关程序。没有人会强迫通过工具或软件来做到这一点。虽然不切实际、容易出错且不够完整,但你可以根据需要跟踪书面程序上的变更。特权访问管理能够帮助实施程序、跟踪变更并记录报告的相关数据。

更多降低成本的方法

虽然上述内容已经帮助你实现并证明了积极的投资回报率,以下则是更多可以帮助你间接节省成本的具体方法。

1. 自动口令轮换

尽管口令轮换一直以来都是安全领域的良好实践之一,但它也可能需要满足特定的法规、标准和最佳实践。举例来说,《支付卡行业数据安全标准》(PCI DSS) 要求用户每 90 天轮换一次口令,而美国国家标准与技术研究院 (NIST) 则规定:只有在怀疑存在数据泄露时,口令才应过期。这两种标准在口令的长度、复杂性等方面都有自己的具体要求。ISO 27001 也就口令的更新频率、长度和复杂性给出了相应的要求。英国通信电子安全组织 (CESG) 建议组织定期更改管理员口令,但目前他们并未强制执行这一要求。无论遵循哪种标准,关键在于需求会随着时间而变化,因此,组织需要适应性地遵守标准。

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章