特權訪問管理應遵循的10個最佳實踐 - 網安 - 專業的網絡安全產業、社區、知識平臺

特權賬戶往往能夠訪問到企業中最重要的數據和信息，因此會成為攻擊者競相追逐的目標。為了保障數字化業務的安全開展，組織必須對各種特權賬號的使用情況和異常行為進行有效的監控和管理。但在實際應用中，企業要真正落地特權訪問管理（PAM）并不容易，需要借助全面技術策略的支撐，實現對所有數字化資產的特權賬戶可見和可控。

特權訪問管理的挑戰

研究人員發現，很多特權賬戶的使用者并不能充分了解對特權賬號的管理要求，往往為了簡化日常工作流程，而忽視了安全后果。企業在開展特權訪問管理時，會經常面臨以下常見的挑戰：

對特權賬戶的保護不足

保護特權賬戶包括很多方面的要求，由于企業的IT環境在不斷變化，特權賬戶的歸屬也在不斷變化。當發生人事變動，或者進行了系統應用升級時，特權賬戶的使用情況也將發生變化，如果不能進行妥善處理，就會留下內部賬戶權限過大、僵尸特權賬號等安全隱患。此外，密碼是保護特權賬戶不被非法使用的關鍵，有很多安全管理密碼的建議，比如使用復雜的密碼和定期更新密碼，但很少有人愿意去做。

特權賬號共享濫用

特權賬號應該只授予那些為了完成工作而實際需要它們的人。但在實際工作中，特權賬戶卻常常被運維人員違規共享和濫用。有一種常見的情況是，一個團隊會共享一個特權賬戶來管理相關應用程序、網站或云存儲服務，因為創建多個特權賬戶需要經歷多次審批流程。違規共享特權賬戶將會大大降低其應用可見性，如果有多人使用同一個特權賬戶，將無法分辨到底誰做了什么。一旦發生了安全事件，也無法判斷該由誰來負責。

過度授權和使用特權賬號

當特權賬戶的使用頻率超過工作所需時，就會增加組織的安全隱患和脆弱性，因此需要對其進行合理授權，持續監管，并嚴禁用特權賬戶執行日常性工作任務。但是，即便企業將此定為安全管理制度中的一項明確要求，特權用戶也往往會忽略或破壞它。

網絡安全意識缺乏

無論企業的網絡安全管理制度中制定了什么規則，都可能會有人不遵守這些規則。甚至很多員工會認為：我們沒有被攻擊的價值，因此不需要那么多的安全防護。然而，今天的網絡攻擊是無孔不入的。因此，企業應該重視并加強網絡安全意識培訓，使包括特權用戶在內的所有員工都養成遵守組織安全政策的工作習慣。

特權訪問管理的最佳實踐

日前，安全研究人員收集整理了有效進行特權訪問管理的10個最佳實踐，可以為企業組織后續開展PAM建設工作提供參考。

識別所有的特權賬戶

企業開展特權訪問管理的第一步就是要梳理和識別出組織究竟有多少特權賬戶。研究數據顯示，一個企業中的特權賬戶數量往往是普通賬戶數量的3-4倍。顯然，要充分掌握有哪些特權賬戶是一件非常復雜的工作。企業還需要定期對自己的所有賬戶資產進行系統整理，并且對和資產相關的所有權限進行整理與管理。

實施最小特權原則

最小特權原則（POLP）是任何身份和訪問管理（IAM）策略中的最佳實踐。執行POLP意味著消除長期性的特權使用，特權賬戶并不可以被無限制地賦予不需要的管理權限，從特權賬戶建立開始，就需要對其進行合理的權限使用限制。在權限提升時，應該有非常具體的理由才有望批準，還要有約束屬性，比如位置、設備和操作類型。

運用零信任安全模型

零信任安全模型與傳統觀念形成了對比。在零信任安全模型中，除非用戶和設備經過檢查、通過身份驗證，否則被拒絕訪問資源。從長期看，PAM 建設應該有效融合到零信任建設的范疇中，無論是用戶、設備、應用程序還是請求網絡訪問的API，在被有效驗證身份和真實性之前，拒絕其對資源的訪問將是默認選項。

實現全面的特權用戶監控

企業的人員在不斷變化，因此需要根據人員與IT環境的變化追蹤每個特權用戶是否依然有必要保留之前的權限。針對賬戶的權限變化進行監控，也能防止異常的特權賬戶使用行為。

組織應該將管理賬戶與業務賬戶區分開，并將管理賬戶中的審計功能與讀取、編輯、寫入和執行等系統功能分開來。只有確保每個特權賬戶只擁有執行特定任務的特權，并消除不同賬戶之間的重疊，才能真正建立起有效的特權訪問管理系統。當新的組件和資產被添加到網絡中時，實現自動化資產發現、所有權歸屬和訪問評估是非常有必要的，如果發現任何違規和異常行為，應該立刻撤銷用戶的特權。

部署基于屬性的訪問控制

基于屬性的訪問控制（ABAC）可以確保組織用更可靠的方法來制定針對不同訪問對象的管控策略，從而確保它們受到安全的保護，遠離非法的用戶訪問。除了角色和資產外，ABAC還包括操作行為和環境，其中操作行為（讀取、寫入、復制和刪除）定義了用戶可以對訪問對象做什么，而環境則根據更廣泛的上下文，明確了相應資源何時在何地被使用，包括設備本身和相關的支持協議。

持續監測和警報

特權用戶監控（PUM）不應被視為一次性、階段性的工作。如果僅定期執行用戶活動監控，則無法確保用戶操作的完全可見性或正確保護關鍵數據。PUM是一個持續的過程，需要不斷改進。確保不斷改進特權用戶監視和管理過程，并使用PUM最佳實踐和先進技術解決方案增強它們。此外，特權會話管理（PSM）也是一項必備的功能，便于管理員控制、監測和記錄所有的特權使用會話，保證任何可疑活動被及時發現和消除。

加強對共享賬戶的管理

加強對共享賬戶的管理對于保障特權訪問安全至關重要。盡管共享特權賬戶很方便，但卻阻礙了用戶活動監控和審計的過程，因為如果不使用特定的工具，很難區分用戶的行為。企業可以利用輔助用戶身份驗證措施，對需要共享賬戶的所有用戶進行身份區分，同時有效地審計和監控他們的活動。

選擇合適的PAM技術方案

每家企業的IT環境都有所不同，因此企業需要根據自己的需求進行特權訪問管理技術手段應用和部署。企業應該和專業的PAM服務商合作，在企業特性應用需求以及自身網絡環境的基礎上，打造適合企業的PAM管理方案。由于大多數網絡安全解決方案僅支持種類有限的終端操作系統平臺，如何實現跨平臺的全面管理也是PAM建設中需要重點考慮的問題。

快速的應用備份和恢復

企業要使用可靠的打碎玻璃（break-glass）方法，針對可能的攻擊事件恢復場景做好提前規劃和準備。一旦系統發現特權賬號存在異常活動行為，其訪問會話應該被自動關閉，從而防止威脅分子的進一步滲入和惡意利用。在特權濫用導致真實的攻擊事件發生后，企業應該使用高可用性設計和高級災難恢復流程（比如熱站點或冷站點，而不是簡單的本地備份和恢復），確保業務系統應用的連續性和彈性。

開展網絡安全培訓

組織安全意識培訓對于有效監控特權用戶非常重要。沒有適當的網絡安全知識的用戶可能不理解監控它們的必要性，甚至可能試圖欺騙或破壞所實施的安全工具和策略。增強員工的網絡安全意識可以減少特權用戶的犯錯次數，使他們更加注意賦予他們的特權，并增加他們遵守公司建立的網絡安全程序的意愿。此外，當知道如何識別網絡安全威脅時，員工也更有可能注意到可疑活動并上報。