任何企業(yè)都會面臨一個事實，特權(quán)用戶可以不受限的訪問整個IT基礎(chǔ)架構(gòu)中的各種關(guān)鍵任務(wù)、系統(tǒng)和數(shù)據(jù)。

　　盡管當(dāng)今許多的網(wǎng)絡(luò)攻擊都可以聯(lián)系到內(nèi)部惡意人員或是外部威脅者的特權(quán)濫用、不受限的越權(quán)訪問有關(guān)，但仍有機構(gòu)的安全計劃未對此類行為做出有效控制。

　　這也就是特權(quán)訪問管理（PAM）應(yīng)發(fā)揮的地方，PAM是一組策略，用于保護(hù)、控制、監(jiān)視企業(yè)系統(tǒng)上的特權(quán)活動和會話，而不影響業(yè)務(wù)生產(chǎn)力。


　　如何有效的設(shè)計、構(gòu)建并部署一套針對特權(quán)濫用的防御機制，可參考以下幾點建議：

　　01　構(gòu)建網(wǎng)絡(luò)中特權(quán)訪問的可見性


　　發(fā)現(xiàn)并識別所有散落在網(wǎng)絡(luò)中的特權(quán)賬戶、密鑰、證書以及敏感文檔，將它們整合到一個中心位置，設(shè)置適當(dāng)?shù)臋?quán)限和策略，定義誰可以在什么時間段內(nèi)訪問它們中的什么內(nèi)容。以此措施，構(gòu)建起對關(guān)鍵數(shù)據(jù)訪問的控制與可見性——尤其是這些可能為惡意行為提供高風(fēng)險后門的長期未使用、被遺忘/棄用的特權(quán)賬戶。

　　02　為特權(quán)訪問構(gòu)建多層次的安全設(shè)置


　　采用多重身份驗證，來驗證這些執(zhí)行特權(quán)活動的人員。更進(jìn)一步，針對關(guān)鍵系統(tǒng)的訪問，設(shè)置必要的審核措施，并設(shè)置資源使用到期或完成侯，自動收回憑證并重置。通過這種強的訪問控制，攻擊者將難以通過非法途徑侵入，在網(wǎng)絡(luò)中肆意妄為，阻礙業(yè)務(wù)的正常運營。

　　03　采用簡化以及更快的工作流來提升業(yè)務(wù)生產(chǎn)力


　　支持特權(quán)用戶通過安全途徑遠(yuǎn)程訪問關(guān)鍵系統(tǒng)，而不必修改防火墻策略或是連接VPN，也不必記住大量復(fù)雜的密碼登錄過程。利用自動遠(yuǎn)程登錄功能，使用戶可以在混合環(huán)境中單點登錄到所需的系統(tǒng)或應(yīng)用程序。這種做法也可防止來自未知源的威脅，同時加快操作速度，提高生產(chǎn)力，更快的實現(xiàn)價值。

　　04　消除硬編碼來進(jìn)一步壓縮被攻擊面


　　將DevOps自動化文件中硬編碼憑證，整合到一個中心位置，強制實施基于API以及自動化腳本的方式，從中心密碼存儲庫中獲取所需的憑證，以防止暴露高風(fēng)險的密碼。實施密碼安全的最佳實踐，如密碼定期輪換、增加密碼復(fù)雜性，以大幅減少憑證被盜取或利用漏洞攻擊的風(fēng)險。

　　05　加強特權(quán)會話的監(jiān)督和問責(zé)


　　記錄每個特權(quán)用戶的會話，并將其記錄為視頻，保存在一個安全、加密的數(shù)據(jù)庫中，以供將來審查。利用影子會話，實時監(jiān)督正在進(jìn)行中的會話，即時中止并發(fā)起對可疑會話的調(diào)查。針對受信的內(nèi)部特權(quán)人員以及第三方供應(yīng)商啟用細(xì)粒度的特權(quán)會話錄制，有助于簡化治理，以及更佳的問責(zé)。

　　06　應(yīng)對合規(guī)性以及安全策略審計

　　圖片

　　記錄并可下載所有關(guān)于特權(quán)憑證及其訪問的事件。許多法規(guī)合規(guī)性標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn)（如SOX、HIPAA、PCIDSS）都需要跟蹤、監(jiān)控對關(guān)鍵系統(tǒng)的訪問。通過集中化的合規(guī)性審計以及報表，您可以方便的向?qū)徲嬋藛T以及取證調(diào)查人員出具相關(guān)的安全控制數(shù)據(jù)。 　　07　集成先進(jìn)的技術(shù)制定更佳的業(yè)務(wù)決策


　　采用AI、ML驅(qū)動的監(jiān)視功能，持續(xù)檢測異常以及可能有害的特權(quán)活動，并自動啟動緩解控制措施以防止損害加深。與SIEM以及安全掃描工具集成，以發(fā)現(xiàn)漏洞并及時執(zhí)行補救措施。將ITSM添加到應(yīng)用組合中，簡化特權(quán)訪問的請求，提高變更以及資產(chǎn)管理的效率。將特權(quán)訪問數(shù)據(jù)與上述功能進(jìn)行關(guān)聯(lián)和同步，從中央控制臺編排其工作流。
　　這樣，您可以在整個架構(gòu)中實施特權(quán)訪問安全性，增強態(tài)勢感知能力，緩解安全孤島。

　　ManageEnginePAM360是一個全面的特權(quán)訪問管理解決方案，已經(jīng)連續(xù)兩年入選Gartner特權(quán)訪問管理魔力象限，它能夠促進(jìn)企業(yè)針對其IT基礎(chǔ)架構(gòu)中的用戶、系統(tǒng)以及應(yīng)用程序的訪問權(quán)限實施更為嚴(yán)格的控制和治理措施。