數據泄露事件的影響，輕者可以導致公司遭遇羞辱和品牌信譽降級，重者則導致重大經濟損失、事業陷入低谷，甚至直接關門歇業。

[[213559]]

最嚴重的事件，無可避免地源于特權憑證(通常是那些用于管理的登錄憑證)落入壞人之手。任何思維正常的人，都不會將通往自己領地的鑰匙交到壞人手上。但這些壞人非常卑鄙。他們會通過社會工程、網絡釣魚或暴力破解，來染指相對無害的用戶憑證，然后用提權技術和橫向移動來獲取超級用戶權限，之后會發什么，就難說了。

身份及訪問管理(IAM)的基石之一，是特權賬戶管理(PAM)。IAM考慮的是確保正確的人能有恰當的權限，在正確的時間，以恰當的方式，訪問該訪問的系統，且所有牽涉其中的人都認為該訪問是正確的。PAM則是將這些原則和操作，簡單應用到“超級用戶”賬戶和管理憑證上。此類憑證的例子包括：Unix和Linux系統的root賬戶、活動目錄(AD)的Admin賬戶、業務關鍵數據庫的DBA賬戶，以及IT運營所需的大量服務賬戶。

普遍認為，PAM可能是減小數據泄露風險和最小化數據泄露影響的***操作。PAM的主要原則有：杜絕特權憑證共享、為特權使用賦以個人責任、為日常管理實現最小權限訪問模型、對這些憑證執行的活動實現審計功能。但不幸的是，現在明顯大多數企業的PAM項目并沒有跟上不斷發展的威脅。

One Identity 最近對900多位IT安全人士做了調查，發現了關于該重要防護操作的一些令人警醒的數據。太多公司使用的是很原始的工具和實踐來保護并管理特權賬戶和管理員訪問，尤其是：

• 18%的受訪者承認使用紙質日志來管理特權憑證
• 36%用電子表格進行管理
• 67%依賴2種或2種以上的工具(包括紙質和電子表格)來支持他們的PAM項目

盡管很多公司正在嘗試管理特權賬戶(該嘗試用的只是相當有限的工具)，真正監視這些“超級用戶”權限所執行活動的，卻相對較少：

• 57%的受訪者承認僅監視了部分或根本沒有監視其特權賬戶;
• 21%承認自身并沒有監視特權賬戶行為的能力;
• 31%報告稱發現不了以管理憑證執行活動的個人，換句話說，近1/3的人實現不了強制性的個人責任，而這對防護和風險緩解又是如此重要。

如果這些數據還不夠嚇人，還有數據表明太多太多組織(商業、政府和全球各類組織)，甚至連最基本的常識性操作都沒能做到：

• 88%的人承認在管理特權口令上有困難;
• 86%的人在管理員口令用過后都不修改——為前文提及的提權和橫向移動行為大開方便之門;
• 40%直接留用系統、服務器和基礎設施的默認管理員口令，徹底消除了壞人費勁獲取權限的必要。

很多簡單的常識性操作，比如管理員口令每次用過后都做修改、不留下默認口令等，就可以解決很多問題。不過，對技術和實踐進行升級，以清除人為錯誤或因密碼管理實踐繁瑣而產生的懈怠，也可以添加一層保障和個人責任。

***，將PAM項目延展至包含所有漏洞——不僅僅是那些很容易被補上的，可帶來安全的指數級提升。