发布时间:2024 年 7 月 19 日
撰稿人:Matthew Kosinski
特权访问管理(PAM)是一门网络安全 规则,用于管理和保护特权账户(如管理员账户)和特权活动(如处理敏感数据)。
在计算机系统中,“特权”指的是高于普通用户的访问权限。普通用户账户可能有权查看数据库中的条目,而特权管理员则可以配置、添加、更改和删除条目。
非人类用户(例如机器、应用程序和工作量)也可以拥有更高的权限。例如,自动备份程序可能会访问机密文件和系统设置。
特权账户是黑客的高价值目标,黑客可以滥用其访问权限来窃取数据和破坏关键系统,同时逃避检测。事实上,根据 IBM X-Force Threat Intelligence Index,劫持有效账户是当今最常见的网络攻击手段。
PAM 工具和实践可帮助组织保护特权账户免受基于身份的攻击。具体来说,PAM 战略通过减少特权用户和账户的数量、保护特权凭证和执行最小特权原则来加强组织的安全状况。
身份和访问管理(IAM)是一个广泛的领域,涵盖了一个组织为所有用户和资源开展的所有身份安全工作。PAM 是 IAM 的一个子集,侧重于保护特权账户和用户的安全。
IAM 和 PAM 之间存在大量重叠。两者都涉及提供数字身份、实施访问控制策略以及部署身份验证和授权系统。
但是,PAM 比标准的 IAM 措施更进一步,因为特权账户需要比标准账户更强的保护。PAM 程序使用凭据保管库和会话记录等高级安全措施,严格控制用户如何获得高级权限以及如何使用这些权限。
对非特权账户采取如此严厉的措施是不切实际的,也是无效的。这些措施将中断用户的正常访问,使人们难以开展日常工作。这种安全要求的差异是 PAM 和 IAM 分化为独立但相关的学科的原因。
了解为什么 IBM Security Verify 在最新的 Gartner® Magic Quadrant™ 访问管理报告中被评为“领导者”。
特权账户会带来更高的安全风险。他们更高的权限很容易被滥用,许多组织都在努力跟踪本地部署和云系统中的特权活动。PAM 可帮助组织更好地控制特权账户,阻止黑客入侵,同时为用户提供他们所需的权限。
基于身份的攻击呈上升趋势,黑客利用这种攻击接管用户账户并滥用其有效权限。IBM 的 X-Force 报告称,去年此类攻击增加了 71%。它们目前占安全漏洞总数的 30%。这些攻击通常直接或通过横向移动以特权账户为目标。
不良行为者(内部威胁或外部攻击者)获得特权账户后可能会造成严重损害。他们可以利用更高的权限传播恶意软件,不受限制地访问关键资源,同时欺骗安全解决方案,使其认为他们是拥有有效账户的合法用户。
根据 IBM 的《数据泄露成本报告》,黑客使用被盗凭证的数据泄露成本最高,平均为 462 万美元。滥用有效权限的内部威胁会造成更大的损害,这些泄露平均造成 490 万美元的损失。
此外,数字化转型和人工智能的发展也增加了普通网络中特权用户的数量。每个新的云服务、AI 应用程序、工作站和物联网(IoT)设备都会带来新的特权账户。这些账户既包括人类用户管理这些资产所需的管理员账户,也包括这些资产用于与网络基础架构交互的账户。
使问题更加复杂的是,人们经常共享特权账户。例如,许多 IT 团队不为每个系统管理员分配自己的账户,而是为每个系统设置一个管理员账户,并与需要的用户共享凭证。
因此,当恶意行为者将注意力集中在特权账户上时,组织很难跟踪这些账户。
PAM 技术和战略可帮助组织提高对特权账户和活动的可见性和控制力,同时不会干扰合法用户的工作流程。互联网安全中心将 PAM 核心活动列为其“关键”安全控制措施之一。 1
凭据保管库和及时权限提升等工具可以为有需要的用户提供安全访问,同时将黑客和未经授权的内部人员拒之门外。特权会话监控工具允许组织跟踪每个用户在整个网络中使用其特权所做的一切,使 IT 和安全团队能够检测可疑活动。
特权访问管理结合了各种流程和技术工具,以控制如何分配、访问和使用特权。许多 PAM 战略侧重于三大支柱:
特权账户管理:创建、配置和安全处置具有高级权限的账户。
权限管理: 管理用户获得权限的方式和时间,以及用户可以使用权限做什么。
特权会话管理:监控特权活动,检测可疑行为,确保合规。
特权账户管理负责监督具有高级权限的账户从创建到退出的整个生命周期。
特权账户是指在系统中拥有高于平均访问权限的任何账户。特权账户用户可以更改系统设置、安装新软件、添加或删除其他用户。
在现代 IT 环境中,特权账户有多种形式。人类用户和非人类用户(如物联网设备和自动化工作流程)都可以拥有特权账户。例子包括:
本地管理账户可让用户控制单个笔记本电脑、服务器或其他单个终端。
域管理帐户可让用户控制整个域,例如 Microsoft Active Directory 域中的所有用户和工作站。
特权业务用户账户为用户提供非 IT 用途的高级访问权限,例如财务员工用于访问公司资金的账户。
超级用户帐户在特定系统中授予不受限制的权限。在 Unix 和 Linux 系统中,超级用户帐户被称为“root”帐户。在 Microsoft Windows 中,它们被称为“管理员”帐户。
服务账户允许应用程序和自动工作流程与操作系统交互。
应用程序帐户使应用程序能够相互交互、调用 应用程序编程接口(API)并执行其他重要功能。
特权账户管理处理这些特权账户的整个生命周期,包括:
发现:清查网络中现有的所有特权账户。
供应:创建新的权限账户,并根据最小权限原则分配权限。
访问:管理谁能访问特权账户以及如何访问。
处置:安全退出不再需要的特权账户。
特权账户管理的一个主要目标是减少系统中特权账户的数量,并限制对这些账户的访问。凭证管理是实现这一目标的关键工具。
许多 PAM 系统不是将特权帐户分配给个人用户,而是集中管理这些账户,并将其凭证存储在密码库中。该保管库以加密形式安全地存储密码、令牌、安全外壳(SSH)密钥和其他凭证。
当用户(无论是人类还是非人类)需要进行特权活动时,他们必须从保管库中取出相应账户的凭证。
例如,IT 团队成员必须对公司的笔记本电脑进行更改。为此,他们需要使用这台笔记本电脑的本地管理员账户。账户的凭证存储在密码库中,因此 IT 团队成员首先要申请账户密码。
团队成员必须首先通过强大的身份验证质询,例如多重身份验证(MFA),以证明自己的身份。然后,保管库使用基于角色的访问控制(RBAC)或类似策略来确定是否允许该用户访问该账户的凭证。
该 IT 团队成员被允许使用该本地管理员账户,因此凭证保管库授予了访问权限。IT 团队成员现在可以使用本地管理员账户对公司笔记本电脑进行必要的更改。
为了提高安全性,许多凭证保管库不直接与用户共享凭证。相反,它们使用单点登录(SSO)和会话代理来启动安全连接,而用户永远不会看到密码。
用户的账户访问权限通常会在一段时间后或任务完成后失效。许多凭证保管库可以按计划或在每次使用后自动轮换凭证,使恶意行为者更难窃取和滥用这些凭证。
PAM 将永久权限模型(在这种模型中,用户始终拥有相同的静态权限级别)替换为即时访问模型(在这种模式下,用户在需要执行特定任务时会获得更高的权限)。权限管理是组织实施这些动态最低权限访问模型的方法。
凭证保管库是组织消除永久特权的一种方法,因为用户只能在有限的时间内为有限的目的访问特权账户。但是,保管库并不是控制用户权限的唯一方法。
有些 PAM 系统使用一种称为即时(JIT)权限提升的模型。用户无需登录单独的特权账户,而是在需要执行特权活动时临时提高其权限。
在 JIT 权限提升模型中,每个用户都有一个具有标准权限的标准账户。当用户需要做一些需要提升权限的事情时,比如 IT 团队成员更改公司笔记本电脑上的重要设置,他们就会向 PAM 工具提交请求。该请求中可能包括一些理由,概述用户需要做什么以及为什么。
PAM 工具根据一组预定义的规则对请求进行评估。如果该用户被授权在本系统上执行此任务,则 PAM 工具会提升其权限。这些提升的权限仅在短时间内有效,而且只允许用户执行他们需要执行的特定任务。
大多数组织都同时使用权限提升和凭证保管来进行权限管理。有些系统需要专用权限账户,例如某些设备内置的默认管理账户,而有些则不需要。
特权会话管理 (PSM) 是 PAM 中负责监督特权活动的部分。当用户签出特权账户或应用程序的权限被提升时,PSM 工具会跟踪他们使用这些权限执行的操作。
PSM 工具可以通过记录事件和击键来记录特权会话活动。一些 PSM 工具还会录制特权会话的视频。PSM 记录可帮助组织检测可疑活动,将特权活动归属于个人用户,并为合规目的建立审计跟踪。
特权身份管理 (PIM) 和特权用户管理 (PUM) 是特权访问管理的重叠子领域。PIM 流程侧重于为系统中的个人身份分配和维护权限。PUM 流程侧重于维护特权用户账户。
然而,PIM、PUM 和 PAM 的其他方面之间的区别并未得到普遍认可。有些从业者甚至将这两个词互换使用。归根结底,重要的是这一切都属于 PAM 的范畴。不同组织对 PAM 任务的概念可能不同,但所有 PAM 战略的共同目标都是防止滥用特权访问。
手动执行 PAM 核心任务(如权限提升和定期密码轮换)的效率很低,而且往往不可能完成。大多数组织使用 PAM 解决方案来简化和自动化大部分流程。
PAM 工具可作为软件或硬件设备安装在办公场所内。它们越来越多地以基于云的软件即服 (SaaS) 应用程序的形式提供。
分析公司 Gartner 将 PAM 工具分为四类:
特权帐户和会话管理 (PASM) 工具负责处理帐户生命周期管理、密码管理、凭证保管和实时特权会话监控。
权限提升和授权管理 (PEDM) 工具通过自动评估、批准和拒绝权限访问请求,实现及时的权限提升。
秘密管理工具侧重于保护凭证和管理非人类用户(如应用程序、工作量和服务器)的权限。
云基础设施权限管理 (CIEM)工具专为云环境中的身份和访问管理而设计,其中用户和活动更加分散,并且需要比本地部署对应的不同控制措施。
虽然一些 PAM 工具是涵盖一类活动的点解决方案,但许多组织正在采用结合 PASM、PEDM、秘密管理和 CIEM 功能的综合平台。这些工具还可能支持与其他安全工具的集成,例如将特权会话日志发送到安全信息和事件管理 (SIEM) 解决方案。
一些综合性 PAM 平台还具有额外的功能,例如:
能够自动发现以前未知特权账户
能够对请求特权访问的用户强制执行 MFA
为特权活动和用户提供安全的远程访问
针对第三方承包商和合作伙伴的供应商特权访问管理 (VPAM) 功能
PAM 工具和策略不仅能管理整个组织的特权活动,还能帮助解决特定的身份和访问安全挑战。
- 缩小身份攻击面
- 管理身份无序扩展
- 法规一致性
- 开发运维 (DevOps) 秘密管理
数字化转型促使企业网络中特权身份激增,这给信息安全带来了巨大挑战。
平均每个业务部门要使用 87 种不同的 SaaS 应用程序3 ,更不用说现在充斥在企业网络中的各种物联网设备、云基础设施服务和使用 BYOD 设备的远程用户了。其中许多资产和用户需要特权账户才能与 IT 资源进行交互。
随着越来越多的组织将生成式人工智能纳入其运营中,这些新的人工智能应用程序和集成带来了另一组特权身份。
其中许多特权身份属于非人类用户,例如人工智能应用程序和物联网设备。如今,在许多网络中,非人类用户的数量超过了人类用户,而且他们在保密凭证方面也是出了名的差劲。例如,一些应用程序会将其凭证以纯文本形式转储到系统日志和错误报告中。
PAM 可以通过保管人类和非人类用户的特权凭证并集中控制对这些凭证的访问,帮助组织管理身份无序扩展。自动凭证轮换可限制任何凭证泄漏造成的损害,而会话监控工具则有助于跟踪所有这些不同用户使用其权限所做的事情。
《健康保险流通和责任法案》 (HIPAA)、《支付卡行业数据安全标准》(PCI DSS) 和 《通用数据保护条例》(GDPR) 等数据隐私和安全法规要求各组织控制健康信息、信用卡号和其他敏感数据的访问。
PAM 可以通过几种方式帮助组织满足合规性要求。PAM 工具可以强制实施精细的访问权限,这样只有必要的用户才能访问敏感数据,并且只能出于授权的原因进行访问。
凭证保管库和权限提升消除了共享管理账户的需要,因为共享管理账户可能导致未经授权的用户访问敏感数据。
特权会话监控可帮助组织确定活动属性并生成审计跟踪,以便在发生漏洞或进行调查时证明合规性。
在 DevOps 环境中,管理特权凭证(通常称为“机密”)对 DevOps 团队来说尤其困难。
DevOps 方法大量使用云服务和自动化流程,这意味着许多有特权的人类和非人类用户分散在网络的许多不同部分。
SSH 密钥、密码、API 密钥和其他机密被硬编码到应用程序中或以纯文本形式存储在版本控制系统和其他地方的情况并不少见。这样,用户就能在需要时轻松获取凭证,从而避免工作流程中断,但同时也让恶意行为者更容易窃取这些凭证。
PAM 工具可以将 DevOps 机密存储在集中式保险库中来提供帮助。只有合法用户和工作者才能访问机密,并且只能出于合法的理由访问。保险库可以自动轮换机密,因此被盗的凭证很快就会失效。
脚注
所有链接均为 ibm.com 外部链接
1 CIS 关键安全控制措施, 互联网安全中心, 2024 年 6 月。
2 身份、身份验证和访问 (IAA) 领域的生成式人工智能趋势, Omdia, 2024 年 3 月 15 日。
3 2023 年 SaaS 趋势现状, Productiv, 2023 年 6 月 21 日。