密碼是管理訪問的重要組成部分，但還有其他方面需要考慮。使用特權(quán)訪問管理 (PAM) 提供的全部范圍會有所幫助。很容易將注意力集中在網(wǎng)絡(luò)安全的閃光方面。但是，如果沒有正確管理憑證和訪問權(quán)限，企業(yè)就會面臨受到攻擊的風(fēng)險。根據(jù)Verizon 數(shù)據(jù)泄露調(diào)查報告，絕大多數(shù)網(wǎng)絡(luò)安全問題 (80%) 與通常被盜或薄弱的憑據(jù)有關(guān)。

什么是 PAM?

PAM 是一種戰(zhàn)略方法，讓誰有權(quán)訪問網(wǎng)絡(luò)(包括基礎(chǔ)設(shè)施和應(yīng)用程序)，然后有目的地管理該訪問。大多數(shù)情況下，這涉及為用戶使用單點登錄，為管理員使用單點管理。

雖然訪問通常是指用戶，但 PAM 還涵蓋應(yīng)用程序和進程。每一個都必須訪問網(wǎng)絡(luò)的不同區(qū)域和其他應(yīng)用程序才能執(zhí)行其功能。

術(shù)語 PAM 既指用于特權(quán)訪問管理的工具，也指進程。購買 PAM 解決方案是第一步。下一步：將 PAM 過程置于工具周圍。

通常，企業(yè)和機構(gòu)使用最小特權(quán)原則。這僅授予每個用戶、設(shè)備和應(yīng)用程序出于商業(yè)目的所需的最低限度的訪問權(quán)限。通過使用這種方法，他們限制了有權(quán)訪問特權(quán)區(qū)域的人，從而降低了風(fēng)險。許多團體將 PAM 與零信任結(jié)合起來。這意味著需要對每個訪問請求進行驗證并假設(shè)每個請求都是無效的。由于這兩種方法具有相似的原則，因此這些策略可以很好地協(xié)同工作。

特權(quán)訪問管理的好處

實施 PAM 的企業(yè)將獲得諸多好處，包括：

提高可見性——借助 PAM，可以實時了解誰訪問了每個網(wǎng)絡(luò)、服務(wù)器、應(yīng)用程序和設(shè)備——無需高風(fēng)險或高維護的手動電子表格。通過跟蹤會話時間，可以確保供應(yīng)商和承包商提供準確的時間表。

可以看到誰在嘗試訪問未經(jīng)授權(quán)的區(qū)域，甚至可以設(shè)置警報，這可以為潛在的內(nèi)部攻擊提供線索。通過使用基于人工智能的 PAM 工具，還可以在用戶不遵循其典型行為時收到警報，以發(fā)現(xiàn)可能的憑據(jù)遭到破壞。

提高合規(guī)性——許多行業(yè)，如醫(yī)療保健和金融，必須保持對最低特權(quán)訪問的合規(guī)性，以遵守法規(guī)。通過使用特權(quán)訪問管理，可以降低審計風(fēng)險并更輕松地證明合規(guī)性。

提高生產(chǎn)力——大多數(shù) PAM 工具使用自動化來執(zhí)行以往手動任務(wù)，例如密碼創(chuàng)建和密碼保管。這樣可以節(jié)省很多時間。

由于這些工具和結(jié)構(gòu)化流程減少了人為錯誤，因此 IT 團隊花費更少的時間來糾正問題。此外，員工花更少的時間管理自己的密碼和訪問權(quán)限。

當許多公司正在轉(zhuǎn)向混合工作時，這也有幫助。PAM 可防止從多個位置和設(shè)備登錄時出現(xiàn)訪問問題。

跨環(huán)境集成——網(wǎng)絡(luò)安全的一個常見問題是無意中創(chuàng)建了孤島，這會給流程增加新的問題。通過特權(quán)訪問管理，可以輕松地在整個團隊中集成流程和工具。

通過選擇與系統(tǒng)集成的應(yīng)用程序，甚至可以使用單個儀表板進行管理。然后，可以從單個工具創(chuàng)建詳細報告。

減少惡意軟件攻擊——攻擊者通常通過獲得對特權(quán)賬戶(例如管理員的賬戶)的訪問權(quán)限來發(fā)起惡意軟件攻擊。由于賬戶提供了廣泛的訪問權(quán)限，這樣做可以使有害代碼更快地傳播。

更安全地控制訪問并限制對業(yè)務(wù)的訪問意味著攻擊不會傳播那么多。

減少終止員工的攻擊——通常，前員工使用舊憑證來獲得訪問權(quán)限。這些很難被發(fā)現(xiàn)——而且通常是有害的。

PAM 提供了一個內(nèi)置流程，用于在員工離開公司時關(guān)閉訪問權(quán)限。如果確實發(fā)生了攻擊，特權(quán)訪問管理會立即提供對操作的洞察。這可以幫助訪問任何損壞并開始恢復(fù)。

通過使用 PAM 并花時間專注于基礎(chǔ)知識，可以降低風(fēng)險，同時提高工作效率。

很多實踐策略，都是各有其優(yōu)缺點，我們此處根據(jù)IBM網(wǎng)站上的一種觀點，搬運過來，供大家參考與思考。