一、前言

在现代信息技术和网络安全领域,特权访问和凭证管理系统(Privileged Access and Credential Management Systems)已经成为企业保护其关键资产和敏感数据的核心策略。随着数字化转型的深入,企业内部和外部威胁日益增加,特权访问管理(Privileged Access Management, PAM)作为一种重要的安全控制手段,正在扮演越来越关键的角色。


二、什么是特权访问

特权访问(Privileged Access)指的是对关键系统、网络、应用程序和数据拥有高级别权限的访问。这种访问权限通常授予系统管理员、数据库管理员、网络管理员和其他需要执行高级管理任务的用户。由于这些账户具有广泛的访问能力,一旦被滥用或遭到攻击,可能会导致严重的安全事件和数据泄露。


三、特权访问管理的必要性

特权账号的滥用和管理不当是许多安全事故的主要原因之一。以下是一些相关的数据和统计,展示了特权账号在安全事故中所扮演的重要角色:

  1. Verizon数据泄露调查报告 (DBIR)
  • 根据Verizon发布的2021年数据泄露调查报告(DBIR),大约60%的数据泄露事件涉及特权凭证的滥用。特权账号的高权限使得攻击者一旦获得,能够造成严重的破坏和数据泄露。
  1. Centrify报告
  • Centrify的一项研究显示,74%的数据泄露事件涉及特权凭证的滥用或滥用。特权账号被视为最具价值的攻击目标,因为它们可以提供对企业关键系统和数据的全面访问。
  1. IBM数据泄露成本报告
  • IBM的2020年数据泄露成本报告指出,平均每个数据泄露事件的成本约为386万美元,其中特权账号的滥用是导致高额损失的一个主要因素。特权账号被攻破后,攻击者可以更容易地扩展攻击范围,访问更多敏感数据。
  1. Forrester Research
  • Forrester的一项调查表明,80%的安全事件涉及内部人员的特权滥用或凭证被窃取。内部人员,包括前员工和当前员工,可能会滥用他们的特权访问来窃取数据或破坏系统。

 

特权访问管理不当或失效可能导致严重的安全事故。以下是几个因为特权访问所造成的著名安全事件:

1. Target 数据泄露 (2013年)

在2013年,Target公司遭受了一次重大数据泄露,导致约4000万张信用卡信息被盗。此次事件的起因是攻击者通过一个第三方供应商的特权账号进入Target的网络。这个供应商是一个HVAC(供暖、通风和空调)服务提供商,他们的网络被攻破后,攻击者利用他们的特权访问权限进入Target的支付系统 。

2. Uber 数据泄露 (2016年)

在2016年,Uber公司发生数据泄露事件,导致5700万名用户和司机的个人信息被曝光。此次事件的起因是攻击者获取了一个Uber工程师在GitHub上存储的特权访问凭证,利用这些凭证进入Uber的Amazon Web Services (AWS)账户,从而获取大量敏感数据 。

3. Edward Snowden 泄密事件 (2013年)

Edward Snowden是美国国家安全局(NSA)的合同工,他利用特权访问权限获取并泄露了大量机密文件。这些文件揭示了NSA的大规模监控计划,导致全球范围内的隐私和安全争议。Snowden的特权访问权限使他能够访问高度机密的文件,并将其下载和公开 。

4. Capital One 数据泄露 (2019年)

2019年,Capital One银行遭遇数据泄露,约1.06亿客户的个人信息被盗。此次事件的攻击者是前AWS员工,她利用特权访问权限和错误配置的防火墙进入Capital One的AWS服务器,获取了大量客户数据 。

5. Anthem 数据泄露 (2015年)

Anthem是美国第二大健康保险公司,在2015年遭遇数据泄露,导致约8000万客户和员工的个人信息被盗。此次事件中,攻击者利用一个被盗的特权账号进入Anthem的数据库,提取了大量敏感信息 。

6. Equifax 数据泄露 (2017年)

在2017年,Equifax公司遭遇数据泄露,约1.43亿美国消费者的个人信息被盗。虽然此次事件的主要原因是未修补的Apache Struts漏洞,但攻击者利用特权账号来访问和提取数据,显示出特权管理的不足 。


四、特权访问管理的实现原理

漫谈企业信息化安全 - 05.特权访问与凭证管理_数据


 

特权访问管理的核心思想是通过严格控制和监控特权账号的访问,确保只有授权的用户能够获取和使用特权权限,从而降低潜在的安全风险,保护关键系统和数据的安全性和完整性。

具体的实现方法一般包括如下一些方面:

1.身份验证与授权

  • 身份验证:PAM系统通过强大的身份验证机制,如多因素身份验证(MFA)、单一登录(SSO)等,确保只有授权用户可以访问特权账号。
  • 授权管理:基于角色的访问控制(RBAC)和最小权限原则,授予特权账号只能执行其工作职责所需的最低权限。

2.会话管理

  • 会话记录和监控:PAM系统记录特权账号的会话活动,包括登录、操作记录等,以便审计和追溯。同时,实时监控会话活动,及时发现和响应异常行为。
  • 会话隔离:通过会话隔离技术,防止特权账号直接访问敏感系统或数据,减少安全风险。

3. 密码管理

  • 密码保护和定期更改:PAM系统安全存储和管理特权账号的密码,并定期强制更改密码,以防止密码泄露和滥用。
  • 密码轮换:定期自动更改特权账号的密码,减少密码被盗用的风险。

4. 自动化和流程优化

  • 审批流程自动化:PAM系统通过自动化审批流程,加快特权访问请求的审批和授权过程,提高效率。
  • 权限管理自动化:实现自动化的权限管理,包括权限分配、权限回收等操作,减少人为错误和延迟。

5. 审计和报告

  • 实时审计:PAM系统实时监控特权账号的使用活动,并记录审计日志,以便及时发现和应对安全事件。
  • 定期报告:PAM系统生成定期报告,对特权账号的使用情况进行审计和分析,确保合规性和安全性。


五、特权访问管理的适用用户

特权访问管理适用于各种类型的用户,尤其是那些在组织中具有特殊权限或对关键系统、数据和资源有访问需求的用户。这些用户可能包括:

  1. 管理员和运维人员:系统管理员、网络管理员和数据库管理员等拥有对关键系统和基础设施进行管理和配置的特权用户。
  2. 开发人员:具有对代码库、开发环境和生产系统进行修改、调试和部署权限的开发人员。
  3. 数据管理员:负责管理敏感数据的访问、备份和恢复的数据管理员。
  4. 审计员:负责监督和审计系统访问和活动的审计人员。
  5. 高管:组织的高级管理人员可能需要特权访问以便查看和审批敏感信息和操作。
  6. 合作伙伴和第三方服务提供商:与组织合作的外部实体可能需要临时或持续性地获得特权访问以执行特定任务或提供服务。


六、凭证管理在特权访问管理系统中的作用

在特权访问管理系统中,都需要集成凭证管理系统。这里说凭证管理系统而不说密码管理系统,是因为凭证是密码的一个超集,凭证包括密码、API令牌、数据库连接传、SSH的公/私秘钥对等等。

凭证管理在特权访问管理系统中扮演着至关重要的角色,其作用包括但不限于以下几个方面:

  1. 身份验证:凭证管理用于验证用户身份,确保只有经过授权的用户才能够访问系统中的特权功能和数据。这包括使用各种身份验证方法,如密码、多因素身份验证、生物识别等。
  2. 访问控制:通过凭证管理,特权访问管理系统可以对用户的访问进行精确控制,以确保用户只能够访问其授权范围内的资源和功能。这包括对特权用户的访问权限进行细粒度的配置和管理。
  3. 凭证生命周期管理:凭证管理系统负责管理用户凭证的生命周期,包括创建、分发、更新和注销。这确保了用户的凭证始终保持最新和安全,减少了因为失效或泄露凭证而导致的安全风险。
  4. 审计和监控:凭证管理记录和监控用户对系统的访问活动,以便进行审计和安全监控。这有助于发现异常活动和潜在的安全威胁,并及时采取措施应对。
  5. 自动化和集成:凭证管理系统通常与身份管理系统、访问控制系统和安全信息和事件管理(SIEM)系统等其他安全组件集成,实现凭证管理的自动化和协同工作,提高安全性和效率。


七、特权访问管理的常见产品

市面上有很多特权访问管理系统,在为您的企业选择特定的特权访问管理,可以从几个方面进行考察:

  • 方案的完整性,企业信息化安全中,实施特权访问管理是保障企业信息安全的重要的一环,但是特权访问一般都要跟随其他的远程访问的技术一起实现,因此,在实施特权访问管理的时候,是否能够提供一致的、无缝的访问体验是需要重点考虑的一部分
  • 供应商合规性认证,供应商合规性认证,例如ISO27001、SOC2等能够很好地证明了供应商在公司治理、产品开发、交付、运维等方面的安全意识与能力,选择具有合规性认证的供应商是对产品使用的很好的保障
  • 技术服务能力,看供应商是否有较好的技术服务能力,本地化服务团队等,有助于企业在实施特权访问管理时能够获得及时的帮助
  • 部署需求,是否接受SaaS服务,还是需要本地化部署

下面是一些目前被用户广泛认可的特权访问管理系统,您可以进一步了解:

  1. Splashtop Secure Workspace: 它是来自于Splashtop的一款集成了特权访问管理、零信任网络访问、即时访问等功能的系统,以SaaS形式提供服务。支持Windows、Mac、iOS、Android等平台,也支持适用浏览器直接访问。
  2. CyberArk Privileged Access Security: CyberArk 是 PAM 领域的领先厂商之一,提供了全面的特权账户管理和安全解决方案,包括密码管理、会话管理、权限管理等功能。
  3. BeyondTrust Privileged Access Management: BeyondTrust 提供了综合的 PAM 解决方案,涵盖了密码管理、会话管理、审计和监控等功能,帮助组织保护关键系统和数据。
  4. Thycotic Secret Server: Thycotic 的 Secret Server 是一款功能强大的密码管理工具,提供了集中式的密码存储、访问控制和审计功能,适用于保护特权账户和敏感信息。
  5. Centrify Privileged Access Service: Centrify 提供了基于云的 PAM 解决方案,包括密码管理、多因素身份验证、会话管理等功能,帮助组织实现对特权访问的严格控制。
  6. One Identity Safeguard: One Identity 的 Safeguard 是一款全面的 PAM 解决方案,包括密码管理、会话管理、特权账户审计和授权管理等功能,帮助组织提高对关键系统和数据的安全性。


参考

1)统一 PAM:可扩展、有弹性的特权访问管理 (splashtop.cn)

2)Uber concealed huge data breach (bbc.com)

3)Privileged Access | CyberArk

4)Privileged Remote Access | BeyondTrust

5)Centrify | Find Centrify Products, Pricing, and Contact Info (delinea.com)