最严重的事件,无可避免地源于特权凭证(通常是那些用于管理的登录凭证)落入坏人之手。任何思维正常的人,都不会将通往自己领地的钥匙交到坏人手上。但这些坏人非常卑鄙。他们会通过社会工程、网络钓鱼或暴力破解,来染指相对无害的用户凭证,然后用提权技术和横向移动来获取超级用户权限,之后会发什么,就难说了。
身份及访问管理(IAM)的基石之一,是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到“超级用户”账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
普遍认为,PAM可能是减小数据泄露风险和最小化数据泄露影响的顶级操作。PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。但不幸的是,现在明显大多数企业的PAM项目并没有跟上不断发展的威胁。
One Identity 最近对900多位IT安全人士做了调查,发现了关于该重要防护操作的一些令人警醒的数据。太多公司使用的是很原始的工具和实践来保护并管理特权账户和管理员访问,尤其是:
- 18%的受访者承认使用纸质日志来管理特权凭证
- 36%用电子表格进行管理
- 67%依赖2种或2种以上的工具(包括纸质和电子表格)来支持他们的PAM项目
尽管很多公司正在尝试管理特权账户(该尝试用的只是相当有限的工具),真正监视这些“超级用户”权限所执行活动的,却相对较少:
- 57%的受访者承认仅监视了部分或根本没有监视其特权账户;
- 21%承认自身并没有监视特权账户行为的能力;
- 31%报告称发现不了以管理凭证执行活动的个人,换句话说,近1/3的人实现不了强制性的个人责任,而这对防护和风险缓解又是如此重要。
如果这些数据还不够吓人,还有数据表明太多太多组织(商业、政府和全球各类组织),甚至连最基本的常识性操作都没能做到:
- 88%的人承认在管理特权口令上有困难;
- 86%的人在管理员口令用过后都不修改——为前文提及的提权和横向移动行为大开方便之门;
- 40%直接留用系统、服务器和基础设施的默认管理员口令,彻底消除了坏人费劲获取权限的必要。
很多简单的常识性操作,比如管理员口令每次用过后都做修改、不留下默认口令等,就可以解决很多问题。不过,对技术和实践进行升级,以清除人为错误或因密码管理实践繁琐而产生的懈怠,也可以添加一层保障和个人责任。
最后,将PAM项目延展至包含所有漏洞——不仅仅是那些很容易被补上的,可带来安全的指数级提升。