导致PAM工程延期的主要原因:服务账户
特权访问管理(Privileged Access Management,PAM)是用来预防管理员账户身份威胁的常见解决方案。PAM的概念从理论上来讲是近乎完美的,将管理员凭证放入保险库,定期进行密码轮换,并密切监控其会话。然而,现实情况却不尽如人意,绝大多数PAM项目要么无限延期,要么完全停滞,根本无法实现其承诺的安全价值。
PAM的初始目标:保护所有管理员用户
PAM的概念很好理解:由于攻击者会试图通过篡改管理员凭证来进行恶意访问,所以需要采取措施来设置障碍,以防止他们得逞。PAM提供了额外的安全层,其中包括通过会话记录来对管理连接进行的密切监视,以及通过存储管理凭证来实现的主动防御。另外,PAM还强调密码的定期更换,这可以大大增加攻击成功的难度。因为即使攻击者设法破坏了管理凭证,密码轮换也会使其无从下手。所以说在理论上,一切都是近乎完美的。
保护特权账户不受侵害的唯一办法就是为所有的特权账户都创建一个易于实现的多因素身份验证(multifactor authentication,MFA)机制。无需对系统进行定制化或网络分割的设置,Silverfort解决方案提供了一种简单且高效的方式,几分钟内就可以投入运行。它通过自适应访问策略,在所有的本地和云资源上强制执行MFA防护,从而快速、无缝地保护特权账户免受网络攻击的侵害。
PAM的现实情况:引入过程漫长而复杂,延期长达数年
然而,最让身份验证和安全团队头疼的是,引入特权账户管理(PAM)解决方案是最耗费资源的过程之一。事实上,很少有PAM项目能够完全实现“保护环境中所有的管理账户”的目标。相反,在部署过程中安全团队总会遇到各种挑战,却又缺乏易于实行的相应对策。即使在最理想的情况下,项目也可能会拖延数月甚至数年。
数世咨询指出,如果遇到了最糟糕的情况,整个项目都可能完全陷入停滞。无论是哪种情况,所造成的影响都是致命的。除了需要耗费大量的时间和努力之外,PAM的核心目的也未能实现,管理员账户无法获得所需的保护。
服务账户:用于在机器之间进行连接的特权账户
服务账户是专门为机器之间的通信而创建的账户,通常包括两种主要的创建方式。其中一种是通过IT进行创建,用于对监控、卫生和维护等重复任务的自动化执行,以代替低效率的手工方式。而另一种方式则是作为在企业环境中部署软件产品的一部分。以Outlook Exchange服务器的部署为例,它需要创建各种账户来执行扫描、软件更新等任务,这些任务会涉及到Exchange服务器与环境中其他机器之间的连接。而服务账户则是为了在机器之间实现自动化通信和执行特定任务而创建的。此外,为了完成所需的操作,它们通常会拥有一定的特殊权限。
无论如何,一个典型的服务账户必须拥有高特权才能建立起机器之间的连接。这就意味着在所需的安全防护方面,服务账户与人类管理员账户之间是没有区别的。然而不巧的是,将服务账户纳入PAM解决方案是几乎不可能完成的,这也使其成为了PAM部署过程中的最大障碍。
可见性缺失:缺乏易于实行的方法来识别服务账户并对其活动进行映射
遗憾的是,在获取服务账户清单的可见性方面,并不存在什么可行的捷径。在大多数环境中,除非在服务账户的创建、分配以及删除等操作上进行了多年来的严格监控和记录,否则很难准确地了解服务账户的实际数量。而且这种持续且严格地监控和记录在现实实践中也并不常见。也就是说,要想完全识别环境中的所有服务账户,就必须通过大量的手动识别工作来完成。这对于大多数身份验证团队来说无疑是天方夜谭。
数世咨询强调,即便是克服了服务账户的识别挑战,接踵而至的还有另一个更加棘手的问题,即映射每个账户的目的及其所导致的依赖关系(该账户支持和管理的流程或应用程序),这才是PAM所面临的最关键障碍。
PAM的影响:在缺乏对服务账户活动可见性的情况下更改其密码可能会破坏其所管理的流程
要使服务账户连接到不同的机器来执行任务,最典型方式就是:使用脚本,该脚本中包括所要连接到的机器名称、在这些机器上执行的实际命令、以及用于对机器进行身份验证的服务账户用户名及其密码。然而该方法会与PAM的部署发生冲突。这是因为PAM在保险库中更改了服务账户的密码,但却无法自动更新脚本中的硬编码密码来匹配PAM所生成的新密码。
所以,脚本在密码发生更改后首次执行时,服务账户会使用旧密码来进行身份验证,其结果必然是会失败的。于是,这就导致了服务账户无法完成其应执行的任务,同时也会对所有依赖于该任务的其他流程或应用程序造成破坏。最后,这种连锁效应所带来的损害无疑是非常严重的。
PAM服务账户所面临的困境在于需要在运营和安全问题之间取得平衡
数世咨询表示,事实上,考虑到这个风险,大多数身份验证团队会尽量避免将服务账户纳入保险库。而这也正是困境所在——将服务账户纳入保险库会产生运营风险,但如果不将其纳入则会带来同样严重的安全风险。遗憾的是,直到现在也没有一个易于实行的方案来解决该困境。这就是为什么服务账户是PAM引入过程中的一大障碍。
为了同时满足安全和运营的要求,唯一的办法就是执行一项繁琐的手动工作,识别所有的服务账户及其所涉及的脚本,以及其所执行的任务和应用程序。这是一项艰巨的任务,也是导致PAM引入过程需要花费数月甚至数年时间的主要原因。
自动化的服务账户识别以及活动映射来克服挑战
问题的根源在于传统的解决方案缺乏一种能够轻松识别所有服务账户并提供它们活动信息的实用工具。
Silverfort开创了第一个与Active Directory本地集成的统一身份保护平台,用于监控、分析,并强制执行AD环境中的所有用户账户和资源上的活动访问策略。通过集成,AD将每个入站访问尝试转发给Silverfort来进行风险分析,并等待其决定是否向其授予访问权限。
借助Silverfort对所有认证过程的可见性和分析能力,安全团队可以轻松检测出那些具有重复和确定性行为特征的服务账户。Silverfort能够识别出这些服务账户,并生成一个详细的列表,其中包括所有服务账户的特权级别、来源、目标和活动量等信息。
有了这些信息,身份验证团队就可以轻松地识别每个服务账户的依赖关系和应用程序,同时对运行它们的脚本进行定位,进而对服务账户作出合理的处理决策:
• 将密码置于保险库中并进行定期的密码轮换:在这种情况下,新获得的可见性使得组织能够轻松地对相应脚本进行必要的调整,以确保其中包含的密码与保险库中的密码保持一致。
• 将密码置于保险库中,使用Silverfort策略代替密码轮换来提供保护:有些情况下,例如服务账户的使用量很大时,频繁地更换密码会变得十分困难。此时安全团队可以避免进行密码轮转,转而使用Silverfort自动生成的策略来保护服务账户,即在检测到其行为异常时发出警报或阻止其访问。
通过上述的方法,Silverfort成功地将特权访问管理(PAM)的引入流程缩短至几周的时间,即使是在拥有数百个服务账户的环境下,也可以实现这个目标。
数世点评
Silverfort解决方案的自动化服务账户识别和活动映射提供了全面的可见性和控制,大大简化了PAM的引入流程。但对于某些组织来说,特别是在大型复杂的IT环境下,将Silverfort解决方案与现有的IT基础设施集成可能会面临一定的复杂性挑战,需要进行额外的配置和定制以确保与现有系统的兼容性和平稳集成。组织在考虑采用Silverfort解决方案时应权衡多方因素,确保与其特定需求和环境的适配性。
