特权帐户和会话管理(PASM)是特权访问管理的一部分,它为用户提供通过远程会话对关键帐户和业务敏感型端点(如数据中心、数据库和应用程序)的管理访问权限。事实上,Gartner已将 PASM 列为 PAM 的关键支柱之一,与权限提升和委派管理以及安全远程访问并列。
过度的特权伴随着过度的风险,员工拥有的管理权限越多,攻击面就越大。新兴的网络趋势表明,攻击者并不总是依靠复杂的工具或攻击方法来破坏组织的安全边界。他们只需要一个受损的特权帐户或弱凭据,即可无限制地访问业务敏感信息。
这只是表明网络安全是一个持续的过程,必须从头开始处理;这首先要加强特权帐户的密钥,进而加强特权数据的密钥。随着混合工作带来一整套新的现实,组织需要为自己配备一个万无一失的机制来保护他们的特权帐户,并将 PASM 纳入其整体网络安全战略将使 IT 团队能够对关键管理用户会话和特权访问例程建立强有力的治理。
任何 PASM 解决方案的主要目的是监视和保护特权用户帐户和会话,这有助于 IT 团队跟踪、控制、记录和审核对关键信息和端点的访问。
PASM 工具的两个重点领域包括:
- 特权帐户管理
- 特权会话管理
特权帐户管理
通常情况下,某些用户被提升了权限,即他们拥有的权限多于执行其活动所需的权限。因此,所需权限和授予的权限之间始终存在差距。
此外,当这些特权过高的用户离开组织时,IT 团队需要一段时间才能取消预配其帐户并撤销与其关联的权限。同时,恶意内部人员可能会访问这些孤立帐户,并利用这些特权来获得对敏感数据的不公平优势。在这种情况下,PASM 解决方案被证明可以有效地消除任何不受管理的常设特权。
PASM 工具附带加密保管库,允许 IT 团队和其他管理用户存储和管理特权身份,例如用户帐户、密码、SSH 密钥、PKI 证书和其他身份验证数据。
下面是特权帐户类型的快速快照:
此外,PASM 工具还提供强大的控制,例如:
- 用于存储和管理凭据、证书、文件和密钥的安全动态保管库。
- 用于验证和批准密码访问请求的请求释放工作流。
- 管理权限的基于角色的访问预配。
- 实时监控和审核与密码相关的用户活动,例如登录尝试、密码重置和密码策略更改。
- 特权终结点的计划密码轮换。
这些工具基于最小特权 (POLP) 原则工作,其中用户被授予最小和足够的访问权限来执行其日常任务。对于需要更高管理权限的任务,用户必须提供适当的批准才能获得对机密数据的管理访问权限。此外,PASM 解决方案包括内置的权限提升控制,IT 团队可以通过这些控件确保可以根据具体情况配置对特权帐户和资产的访问。
换句话说,IT 团队可以为用户提供在特定时间段内对特权资源的访问权限,而不是授予永久的更高权限。请求的时间范围到期后,对这些资源的访问权限将被撤销,原始(和最低)用户权限将恢复。
特权会话管理
PASM 解决方案包括独有的会话管理控制,以促进对远程端点(如应用程序、数据中心、数据库、操作系统、网络设备和云存储)的安全访问。
虽然 VPN 的目的是在两台远程机器之间提供安全网关,但 PASM 工具更进一步,提供了更通用的上下文功能,例如会话记录、监控、阴影、终止、审核和文件传输。这使 IT 团队能够实时监视和控制用户会话,并终止任何可疑的用户会话。
PASM的会话管理功能使IT团队能够发现未经授权的会话并有效地终止任何异常用户活动。此外,特权会话管理提供详细、不可更改的审核跟踪,通常包含每个会话的内容、人员和时间的基本见解,这些见解可进一步用于取证调查和安全审核。
此外,PASM 工具在设备级别应用 POLP,其中没有适当权限提升批准的非管理用户将无权访问关键终结点。换句话说,只有具有有效要求的用户才会获得临时管理权限来执行其任务,一旦他们的工作完成,他们的临时权限将被撤销,资源的凭据将自动轮换,以防止将来出现任何未经授权的访问尝试。
以下是在考虑 PASM 解决方案时需要注意的一些标准会话管理功能:
- 实时会话协作、影子和终止
- 会话录制、存档和回放
- 安全的远程访问配置
- 全面的审计跟踪、日志记录支持和报告
为什么应该实施 PASM 解决方案
- 特权帐户落入坏人之手是灾难的完美配方。虽然网络攻击方法在不断发展,但更常见的是简单地滥用管理帐户或弱凭据,足以使组织处于大规模违规的中心。所有最近的网络攻击趋势都证明了这样一个事实,即攻击者通常选择保持简单,而密码恰好是数据泄露时最容易实现的目标。
- 宽松的密码管理(例如重复使用和共享特权凭据)可能会使组织暴露给不良行为者。手动管理密码不仅繁琐,而且是一件棘手的事情,因为任何疏忽的内部人员都可能将凭据暴露给攻击者。当犯罪分子处理特权凭证时,可能会为价值数千至数百万美元的业务敏感数据打开闸门。
- 强大的 PASM 解决方案可以帮助 IT 团队保护和简化其特权访问例程。PASM 解决方案使管理员能够集中控制其特权用户、帐户和资产,并且可以确保定期重置这些帐户的凭据,并屏蔽非管理用户,除非提供有效的访问请求。
- 提供对特权用户活动的广泛、实时审核,帮助 IT 团队识别和消除安全盲点和漏洞,以预防任何迫在眉睫的攻击,同时符合行业标准。切换到 PASM 解决方案的另一个很好的理由是它与业务职能的相关性,这使其成为任何组织的多功能且与行业无关的补充。
部署PASM 解决方案的优势
以下是部署 PASM 解决方案的主要业务优势:
- 对特权帐户的精细可见性:通过全面的审计跟踪和有关特权帐户使用情况的警报,全面了解企业网络中的用户活动。
- 加强整体访问治理:除了提供细粒度访问外,PASM 解决方案还包括用于监视和控制地理位置分散的企业资源的控件。远程会话的实时监控提高了整体透明度,并使 IT 管理员能够通过实时会话记录和阴影来防止内部攻击。
- 主动防范内部威胁:通过对用户会话的有效实时洞察,识别异常行为,阻止可疑用户并防止安全事件,实施基于角色的访问控制,以确保只有特权用户才能管理敏感信息。
- 确保有效遵守行业法规:无缝证明符合各种监管标准和政府法律,如 GDPR、HIPAA、PCI DSS、NERC-CIP 和 SOX。
- 实现对外部利益相关者和第三方的精细访问:受感染的供应商或有权访问特权凭据的外包员工可能会成为薄弱环节,并可能增加网络事件的机会。但是,借助强大的 PASM 工具,管理员可以利用智能访问工作流,为第三方无缝配置临时的无密码特权访问,以访问特定的业务系统和应用程序。
在 PAM 解决方案中寻找的基本 PASM 功能
对于 IT 团队来说,在选择 PAM 解决方案时做出谨慎的选择非常重要。以下是每个 PAM 解决方案应包含的核心 PASM 功能的列表:
- 企业凭据保管库,在静态和传输过程中都强化了多级数据加密。
- 强大的多因素身份验证,具有 AD 或 LDAP、RADIUS、SAML 和智能卡等选项。
- 定期自动发现特权帐户、用户和资源。
- 精细的密码共享选项、基于角色的访问规定以及用于密码释放的请求发布工作流。
- 安全 API,便于应用程序到应用程序之间的通信,以实现自动密码签出。
- 支持定期密码重置和完整性检查;对各种资源的密码重置支持,包括 Windows 和 Linux 计算机、网络设备、虚拟化设备以及 DevOps 和 RPA 工具。
- 特权会话监控和安全远程访问配置。
- 实时会话监控、录制和回放。
- 广泛的会话审计跟踪,以及全面的日志记录和报告选项。
- 支持管理 SSL 和 TLS 证书以及 SSH 密钥的生命周期。
如何将 PASM 纳入组织整体 PAM 策略
- 对所有管理帐户及其相应的权限进行彻底审核。
- 为用户帐户分配默认的最小权限,理想情况下应将其设置为尽可能小。
- 实施实时 (JIT) 特权提升控制,以实现对关键资源的限时访问。
- 识别非活动和孤立用户帐户,并撤销其所有相关权限。
- 记录和审核整个企业的特权活动和会话。
- 强制实施多重身份验证,作为特权帐户的附加安全层。
- 通过定期进行网络安全培训,让您的员工了解宽松的特权访问卫生的危险,因为当涉及到内部威胁时,人为因素是最大的风险因素之一。
实施有效的 PASM 例程
PAM360是一种企业特权访问管理解决方案,使 IT 团队和管理用户能够建立严格的治理,并获得对关键用户帐户和公司资源的精细控制。
PAM360 的 PASM 模块具有利基功能,可帮助您有效地控制和监控对关键数据的访问。一些强大的 PASM 功能包括:
- 用于密码、数字签名和证书、许可证密钥、文档、图像、服务帐户等的安全企业凭据保管库,采用 AES-256 加密进行强化。
- 为普通用户和第三方承包商提供基于角色的精细访问配置。
- 智能请求释放工作流,用于验证和批准密码访问请求。
- 高级 JIT 特权提升控制,用于向非管理用户预配对特权资源的限时临时访问。
- 有关密码相关活动的实时通知和警报,以发现和预防异常操作,从而确保增强事件响应。
- 无缝会话监控、记录和共享,帮助管理员密切关注实时用户会话,并立即终止可疑活动。
- 一个全面的审计和报告模块,提供有关密码访问活动和特权会话的详细审计跟踪和大量报告,有助于在安全审计期间识别凭据滥用和内部威胁的根本原因。
- 有效且持续地遵守法规,如 ISO 27001、HIPAA、GDPR、SOX 和 PCI DSS,这可以帮助您的组织遵守行业标准。