建立特權(quán)賬戶管理依舊是全球企業(yè)關(guān)注的焦點。Gartner稱，到2018年，25%的企業(yè)都將審核特權(quán)活動并將數(shù)據(jù)泄露事件減少33%。特權(quán)賬戶管理(PAM)是最受企業(yè)歡迎的一個安全解決方案。

Gartner在一份報告中寫道：“2015年僅有少于5%的企業(yè)跟蹤、審查特權(quán)活動。其余的企業(yè)最多在特權(quán)活動發(fā)生時控制并記錄了時間，地點及人物，但它們并未關(guān)心真正發(fā)生了什么。除非企業(yè)跟蹤并審核特權(quán)活動，企業(yè)都將遭遇內(nèi)部威脅，惡意用戶或會導(dǎo)致重要中斷的錯誤的風(fēng)險。”

[[163344]]

除了合規(guī)性和運(yùn)營效率之外，漏洞和內(nèi)部攻擊的防范已成為特權(quán)賬戶管理(PAM)采用的重要驅(qū)動力。PAM是一套旨在幫助企業(yè)解決特權(quán)帳戶相關(guān)問題的技術(shù)。

Gaehtgens補(bǔ)充說：“IT企業(yè)在特權(quán)賬戶(如管理賬號，系統(tǒng)賬號或操作賬號)訪問控制方面承受著越來越多的業(yè)務(wù)及法律壓力。”

Gartner建議IT運(yùn)營和安全領(lǐng)導(dǎo)采用一些效益和風(fēng)險意識的特權(quán)訪問管理的一些最佳實踐方法。

1：列下所有特權(quán)訪問賬戶的清單并分配所有權(quán)

企業(yè)應(yīng)該將IT環(huán)境中所有權(quán)限級別超越標(biāo)準(zhǔn)用戶的特權(quán)賬號列入清單中。經(jīng)常掃描IT基礎(chǔ)設(shè)施以發(fā)現(xiàn)擁有過量權(quán)限的新賬戶是企業(yè)安全的最佳做法。Gaehtgens說：“對于那些快速變化的動態(tài)環(huán)境(如大規(guī)模使用虛擬化技術(shù)或包含云基礎(chǔ)設(shè)施的混合IT環(huán)境)，這點更加重要。企業(yè)應(yīng)該通過使用一些PAM供應(yīng)商提供的免費(fèi)自動搜索工具來自動發(fā)現(xiàn)IT設(shè)施內(nèi)未受管理的系統(tǒng)及賬號，但即使是這樣的自動搜索工具也無法發(fā)現(xiàn)所有的異常。”

2：不要共享共享的帳戶密碼

黃金規(guī)則是共享帳戶密碼不得隨便共享。即使在授權(quán)客戶之間，共享密碼也嚴(yán)重?fù)p害了個人利益;這是安全的最佳做法以及法規(guī)遵從性的要求。這樣更有可能會讓密碼泄露到其他人手上。

3：盡量減少個人及共享特權(quán)帳戶的數(shù)量

企業(yè)應(yīng)該取消，至少是大幅度將超級用戶權(quán)限減少到和企業(yè)業(yè)務(wù)需求相一致的數(shù)量。遷移到共享特權(quán)帳戶是推薦的做法;然而，這需要適當(dāng)?shù)墓ぞ摺Ｈ绻麤]有共享帳戶密碼管理工具，管理這樣的賬號引起的風(fēng)險和控制風(fēng)險是非常低效且復(fù)雜的。

4：建立共享帳戶使用管理的流程及控制方法

企業(yè)需建立共享賬號及其密碼管理的流程及控制方法。盡管企業(yè)可以采用人工方法管理特權(quán)訪問，但這實在太繁瑣了。沒有使用專用PAM工具根本無法實施這種做法。

IT運(yùn)營和安全的領(lǐng)導(dǎo)者需要使用PAM工具來自動化這個流程，加強(qiáng)控制并提供個人問責(zé)制的審計跟蹤記錄。這些工具非常成熟(+微信關(guān)注網(wǎng)絡(luò)世界)，可以向超級用戶用一種強(qiáng)大，受控，負(fù)責(zé)任的方式提供一種高效和有效的密碼管理方法，它們可以讓企業(yè)滿足法律合規(guī)性對受限訪問和個人問責(zé)法的要求。

5：為常規(guī)(非特權(quán))訪問的用戶提供權(quán)限提升

通常，管理員也擁有在日常工作(如閱讀郵件，瀏覽網(wǎng)絡(luò)，訪問公司應(yīng)用，創(chuàng)建并查看信息等)中使用的個人非特權(quán)賬號。Gaehtgens稱：“不要向這些賬號分配超級用戶權(quán)限，這樣可能會導(dǎo)致意外操作或會造成重大影響的惡意軟件。相反，企業(yè)應(yīng)該提供權(quán)限提升來允許特權(quán)命令的臨時執(zhí)行。”