特權訪問管理功能有哪些

持續發現特權賬戶

你無法保護看不到的東西。所以，發現網絡中每一個特權賬戶是必備功能。PAM 解決方案應能發現人類用戶和應用所用的各種特權賬戶。

只要擁有了網絡中所有特權賬戶的完整可見性，就可以輕易擺脫不必要的管理員賬戶，指定哪個賬戶，或者哪個特定用戶，可以訪問哪些關鍵資產。還可以更進一步，通過刪除所有默認管理員賬戶來夯實系統安全，實現最小權限原則或零信任安全方法。

實現這些功能的最大挑戰，是保持特權賬戶相關數據更新。只要提權出了任何差錯，公司網絡安全就陷于嚴重風險之中了。

多因子身份驗證

多因子身份驗證 (MFA) 功能是確保只有正確的人能夠訪問關鍵數據的必要方法。這種方法還可以緩解惡意內部人 “借用” 同事密碼的風險，防止內部人威脅。

大多數 MFA 工具都提供兩種驗證因子的組合：

• 所知(用戶憑證)
• 持有(生物特征、發送到用戶經驗證移動設備上的一次性密碼等)

實現該功能的主要挑戰之一，是定義哪些終端和資產需要受到最嚴格的保護。為避免給員工造成太大麻煩，應只在必要的時間和位置實現 MFA 功能。

會話管理

很多安全供應商將特權訪問與會話管理 (PASM)，作為單獨的解決方案，或 PAM 軟件的一部分提供。監視和記錄特權會話的功能，為安全專家審計特權活動和調查網絡安全事件，提供了所需的全部信息。

實現該功能的主要挑戰，是將每一個記錄下的會話與特定用戶關聯起來。在很多公司里，員工都會使用共享賬戶訪問各種各樣的系統和應用。如果他們使用相同的憑證，不同用戶發起的會話，就會被關聯到同一個共享賬戶上。

為解決該問題，PAM 應能為共享賬戶和默認賬戶提供次級身份驗證功能。如此一來，如果用戶以共享賬戶登錄系統，還需額外提供個人憑證，以便確認該特定會話是由該特定用戶發起的。

一次性密碼

確保只有正確的用戶能夠獲得關鍵資產訪問授權的另一方式，是部署一次性密碼功能。該功能最適用于授予第三方承包商訪問公司重要信息資產的適時 (JIT) 訪問權。

一次性密碼的有效期很短，而且不能重復使用，所以能夠降低數據泄露的風險。

用戶及實體行為分析 (UEBA)

用戶及實體行為分析 (UEBA) 工具有助于早期警示特權賬戶被盜的事實。UEBA 工具分析其他 PAM 工具記錄下的數據，包括會話記錄和日志，識別常規用戶行為模式。如果特定用戶或實體的行為開始偏離其典型模式，系統就會將之標為可疑。UEBA 工具旨在幫助補全其他安全工具的遺漏，盡早檢測入侵。

實時通知

越早阻止攻擊，攻擊造成的影響就越小。但若想能夠及時響應潛在安全事件，你收到警報通知的時機應是近實時的。所以，選擇特權訪問管理解決方案的時候，一定要查看其是否具有良好的警報系統。

詳盡報告與審計

PAM 工具通常會收集大量數據：活動日志、鍵盤記錄、事件日志、會話記錄等等。但若無法從中產生詳盡的報告，PAM 解決方案收集再多的有用數據都是徒勞。因此，需具備根據自身特定需求產生不同類型報告的能力。

某些情況下，取證分析需調查安全事件，或者評估當前安全系統的狀態。因此，所選特權訪問管理解決方案最好具備取證導出功能。

若能將 PAM 解決方案與當前 SIEM 集成，也是一個加分項。這樣可以最大限度地利用 PAM 工具收集的數據，以更有效的方式分析潛在威脅。

回答所涉及的環境：聯想天逸510S、Windows 10。