特权访问管理已经不局限于安全合规

特权访问管理(PAM)工具可以提供一些重要的安全性和法规遵从性优势来帮助企业构建业务案例。然而,这些优势的使用可能更加复杂,因为它们中的大多数是不可见的。换句话说,这些优势都是基于这样的假设:如果发生安全漏洞,组织的成本会是多少?根据组织所在的地区和行业,您可以计算从数据泄漏中恢复的成本。

特权访问管理已经不局限于安全合规

特权访问管理通常被认为是必要的“魔鬼”,即提高公司安全性和合规性所需的工具,但它几乎没有带来额外的价值。这种观点实际上是一种误解。

特权访问管理如何推动企业提升投资回报?

特权访问管理除了无形的优势外,还可以带来一些可衡量的优势,这可以帮助判断对特权访问管理解决方案的投资是否合理。接下来,我们将深入探讨特权访问管理技术为组织创造价值的各种方式,以及如何更好地向业务领导者展示安全投资回报(ROSI)。

1. 口令保管

一般来说,密码是最薄弱的环节。如果没有相应的管理工具,并且它们在用户之间共享,毫无疑问,它们将很快失去控制。人们经常写下密码或将它们存储在受保护的电子表格中。因为它们很难与团队成员共享,并且需要手动操作,所以用户通常不会经常更改密码。

在密码库中,凭据存储在由访问控制策略控制的加密安全位置。这是降低密码风险的第一步,但远非一个完整的解决方案。

2. 口令自动化

即使密码存储在加密的保管库中,并且采用了适当的访问策略和过程,它们仍然是静态的。这意味着一些用户可能仍然会记录它或者复制并存储到其他位置。定期实施自动密码轮换有助于降低这一风险。

3. 非人类帐户管理

组织倾向于关注人类用户使用的帐户和密码,例如管理员、开发人员和外部员工使用的帐户和密码,因为人类用户会犯错。人类用户容易受到网络钓鱼和社会工程攻击,可能接受贿赂或受到威胁,有时可能对雇主不满意。

但是,组织经常忽略用于指定服务、应用程序和机器间通信的帐户。这主要与更改它们的操作风险有关。在对一些高权限帐户的具体分析中,我们发现大量密码在十多年内没有改变。这背后的原因是公司说他们不知道如果密码被更改会发生什么,换句话说,更改密码的操作风险太高。即使他们知道所涉及的风险,他们也不会更改这些密码。这些密码最终将被放入保管库,但在此之前,它们都存储在安装文档中的某个地方,这是另一个非常重要的情况。

特权访问管理解决方案可以帮助控制这些帐户并定期轮换密码,同时确保不会中断服务。攻击者知道密码通常是静态的,这就是为什么密码一直是他们的目标。通常,由于操作风险,这些凭据不受到期日期或登录尝试失败的限制,这将导致非常脆弱的基础架构。

4. 第三方访问管理

许多公司通过托管安全服务来维护防火墙、虚拟专用网络,甚至整个信息技术基础设施。这些通常需要网络管理员授予外部方对信息技术基础设施的访问权限,并且通常是高级别的。现在,您可以请求特定的安全措施和策略,但不能控制或监控第三方的信息技术环境。如果您的服务提供商发生数据泄漏,导致您的业务出现一连串数据泄漏,您会怎么做?即使经济损失可以得到补偿,不利的舆论和声誉仍然无法挽回。

大多数特权访问管理解决方案提供将第三方访问与网络分开的会话管理功能。您可以在没有密码的情况下实现该功能。密码将在会话启动和登录过程中填写,第三方永远不会看到密码。这种方法可以确保问责制,记录活动的详细审计跟踪,并允许安全团队在检测到可疑行为时终止正在进行的会话。

5. 会话管理

刚刚提到第三方访问,那么您可能会考虑对您的员工应用类似的访问限制。这种方法可以让员工的生活更轻松,因为他们不需要记住、存储和输入这些密码。此外,从审计的角度来看,您还可以获得更丰富的信息,尤其是如果对话被记录下来以便以后重放的话。

6. 规避脆弱

可以通过密码轮换避免一些与系统相关的漏洞。传递哈希就是一个很好的例子。该漏洞使攻击者能够连接到以前登录到受感染系统的其他系统。简单地更改密码就可以防止这种威胁。因为一旦密码被更改,哈希将不再正确。

7. 紧急访问配备

在某些情况下,一些用户可能需要紧急访问系统;例如,当关键服务中断或常规管理员不可用时,需要紧急更改一些内容来恢复关键业务服务。在这种情况下,没有时间执行批准过程。

特权访问管理解决方案可以实现相关方的紧急访问。例如,您可以设置一些具有广泛访问权限的帐户,但是这些帐户在用于从安全角度进行跟踪时会触发警报。特权访问管理工具的另一个优势是审计跟踪。

8. 审计与合规

有许多法规、标准和最佳实践。一般来说,它们有一个共同点:它们都需要实施变更程序,记录变更并证明变更过程符合相关程序。没有人会通过工具或软件强迫这样做。尽管不切实际、容易出错且不完整,但您可以根据需要跟踪书面过程中的更改。特权访问管理有助于实施程序、跟踪变更并记录报告的相关数据。

更多降低成本的方法

尽管以上帮助您实现并证明了投资的正回报,以下是帮助您间接节约成本的更具体的方法。

1. 自动口令轮换

虽然密码轮换一直是安全领域的良好做法之一,但它也可能需要满足特定的法规、标准和最佳做法。例如,《支付卡行业数据安全标准》 (PCI DSS)要求用户每90天轮换一次密码,而国家标准与技术研究所(NIST)规定,只有在怀疑数据泄露时,密码才应该过期。这两个标准在密码的长度和复杂性方面有自己的具体要求。国际标准化组织27001也对密码更新的频率、长度和复杂性提出了相应的要求。英国通信电子安全组织(CESG)建议该组织定期更改管理员密码,但目前尚未强制执行这一要求。不管遵循哪个标准,关键是需求会随着时间而变化。因此,组织需要适应性地遵守标准。

即使从监管或认证的角度来看,您也不需要遵守标准,您仍然应该在使用后或定期更改高权限帐户的密码。您可以通过手动设置单独的密码来做到这一点,最好由双方来完成。然而,即使你对管理员有信心,即使他们只需要一个人来做这件事,他们也需要投入大量的时间和金钱。这是一个成本高昂且容易出错的过程,每次法规发生变化时,您都需要这样做。

2. 提升工作效率

特权访问管理在提高工作效率方面起着双重作用。自动会话管理和登录工具使员工能够更快、更轻松地访问系统和应用程序,从而节省时间和精力,提高工作效率。对于混合环境尤其如此。

当您使用与外部方的对话时,他们将知道他们将被监控。尽管这种监控的最初目的是提高安全性。通过监控,您还可以了解他们的工作效率,并督促他们高效地执行任务。

3. 减少管理员失误

如果服务中断一小时,您将知道错误的平均成本。你也可能知道一年中的平均错误数。当员工知道他们可以通过特权访问管理方案进行监控时,他们可能会更清楚自己在做什么。如果人为错误率降低10%,会发生什么?

4. 数据泄露后的恢复

想象一下:数据泄漏后,您必须将系统还原到更早的日期。此时,您需要知道系统在该时间点使用的密码。特权访问管理可以记录密码历史,并在恢复过程中帮助您。

如果有数据泄露或可疑活动,您可能需要立即重置多个帐户的密码。如果已经实施了特权访问管理方案和密码轮换,这可以通过仅启动一个任务来实现。更改密码有助于防止或遏制持续的数据泄漏。

5. 降低审计成本

特权访问管理可以跟踪谁使用哪个帐户,这对于确保问责制非常重要,尤其是对于共享帐户。例如,您可以将帐户设置为独占,这样一次只能有一个用户访问系统。通过将系统事件与当时活跃在系统中的用户相关联,您的安全信息和事件管理(SIEM)流程将获得更多可见性,并变得更有价值。

借助对话和录音功能,您可以获得更详细的信息。不仅用户做了什么,而且他们看到了什么。例如,如果用户连接到数据库,然后运行查询,您可以看到他们查看的查询结果。

让特权访问管理成为安全战略的核心

下次需要提供审计信息时,不要让员工花费数小时或数天时间从各种系统收集所有信息,然后格式化并编写报告。特权访问管理可以帮助您完成这些任务。除了安全性和合规性功能之外,它还可以提供管理高价值客户所需的功能,为您的员工提供支持,并向业务领导保证他们的安全投资可以获得预期回报。

极牛网精选文章《特权访问管理已经不局限于安全合规》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4898.html

(33)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2019年10月9日 上午8:53
下一篇 2019年10月9日 上午9:53

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部