Articles

Privileged Access Management

Privileged Access Management (PAM) se referă la o clasă de soluții care ajută la securizarea, controlul, gestionarea și monitorizarea accesului privilegiat la activele critice.

pentru a atinge aceste obiective, soluțiile PAM iau de obicei acreditările conturilor privilegiate – adică conturile de administrator – și le pun într-un depozit securizat (un seif) izolând utilizarea conturilor privilegiate pentru a reduce riscul furtului acestor acreditări. Odată ajunși în depozit, administratorii de sistem trebuie să treacă prin sistemul PAM pentru a-și accesa acreditările, moment în care sunt autentificați și accesul lor este înregistrat. Când o acreditare este verificată din nou, aceasta este resetată pentru a vă asigura că administratorii trebuie să treacă prin sistemul PAM data viitoare când doresc să utilizeze acreditarea.

prin centralizarea acreditărilor privilegiate într-un singur loc, sistemele PAM le pot asigura un nivel ridicat de securitate, pot controla cine le accesează, pot înregistra toate accesele și pot monitoriza orice activitate suspectă.

Privileged Access Management by Gartner are următoarele subcategorii:

  • Shared access password manager (SAPM)
  • superuser password manager (SUPM)
  • Privileged session manager (PSM)
  • Application Access password manager (AAPM)

Pam password seifuri (SAPM) oferă un strat suplimentar de control asupra administratorilor și politicile parola, precum și trasee de monitorizare a accesului privilegiat la sisteme critice .

parolele pot urma o veraitate a politicilor de parole și pot fi chiar de unică folosință. Brokerii de sesiuni sau PSMs duc PAM la un alt nivel , asigurându-se că administratorii nu văd niciodată parolele, serverele proxy întărite, cum ar fi serverele jump, monitorizează, de asemenea, sesiunile active și permit recenzenților să oprească sesiunile de administrare dacă văd ceva în neregulă. În mod similar, AAPMs poate elibera acreditările just-in-time pentru comunicare aplicație-la-aplicație, și chiar modifica script-uri de pornire pentru a înlocui parolele hard-codificate cu apeluri API la seiful parola.

Aflați mai multe despre cum să vă protejați utilizatorii PAM

CyberArk, lider de piață în domeniul gestionării conturilor privilegiate, afirmă că sunt 7 tipuri de conturi PAM într-o întreprindere:

  1. conturi de urgență : oferiți utilizatorilor acces de administrator la sisteme sigure în caz de urgență. Accesul la aceste conturi necesită aprobarea managementului IT din motive de securitate, de obicei este un proces manual care nu are măsuri de securitate.
  2. conturi Administrative locale: sunt conturi partajate care oferă acces de administrator numai la gazda sau sesiunea locală. Aceste conturi locale utilizate în mod obișnuit de către personalul IT pentru întreținerea în scopuri de stații de lucru și, de asemenea, servere, dispozitive de rețea, servere mainframe și alte sisteme interne. S-a dovedit în trecut că profesioniștii IT încearcă să reutilizeze parolele într-o organizație pentru a fi ușor de utilizat. Această parolă partajată este folosită uneori pe mii de servere și servicii și este o țintă pe care se știe că o exploatează amenințările persistente avansate.
  3. conturi de aplicații : Aceste conturi sunt utilizate de aplicații pentru a accesa baze de date, pentru a rula lucrări cron sau scripturi sau pentru a oferi acces la alte aplicații. Aceste conturi privilegiate au de obicei acces la informații critice sensibile care se află în aplicații și baze de date, de exemplu conturi integrate Zapier. Parolele pentru aceste conturi sunt adesea încorporate și stocate în fișiere text simplu, o vulnerabilitate care este copiată pe mai multe canale și servere pentru a oferi o eroare de moștenire pentru aplicații. Această vulnerabilitate este bine cunoscută și este vizată de advance persistent threats (APT) .
  4. Active Directory sau contul Windows domain service: sunt o provocare pentru a asigura cel puțin, modificările parolei pot fi și mai dificile, deoarece necesită sincronizare în mai multe ecosisteme și aplicații . Această provocare duce adesea la o practică de a schimba rar parolele contului aplicației pentru a evita extinderea directorului, ceea ce creează un singur punct de eșec într-un sistem critic, cum ar fi Active Directory.
  5. conturi de serviciu: sunt conturi locale sau de domeniu care sunt utilizate de o aplicație sau serviciu pentru a interacționa cu sistemul de operare. În unele cazuri, aceste conturi de servicii au privilegii administrative pe domenii, în funcție de cerințele aplicației pentru care sunt utilizate.
  6. conturi administrative de domeniu: super-administratori care au acces privilegiat pe toate stațiile de lucru și serverele din domeniul organizației și oferă cel mai extins acces în rețea. Cu un control complet asupra tuturor controlorilor de domeniu și capacitatea de a modifica calitatea de membru al fiecărui cont administrativ din domeniu, acestea reprezintă o amenințare constantă pentru organizații și sunt vizate pe scară largă de hackeri.
  7. conturi de utilizator privilegiate: sunt utilizatori cărora li se acordă privilegii administrative sistemelor. Conturile de utilizator privilegiate sunt una dintre cele mai comune forme de acces la conturi acordate pe un domeniu de întreprindere, permițând utilizatorilor să aibă drepturi de administrator, de exemplu, pe desktop-urile lor locale sau pe sistemele pe care le gestionează. Adesea, aceste conturi au parole unice și complexe, dar de cele mai multe ori sunt protejate doar de parole.

Aflați mai multe despre cum să vă protejați utilizatorii PAM

Pam Multi Factor Authentication

pentru companiile care rulează o soluție PAM, a venit timpul să alegeți platforma corectă pentru a accesa acea soluție care va menține conturile privilegiate în siguranță.

o soluție de autentificare multi factor (MFA) este o necesitate. După cum a concluzionat o lucrare recentă de cercetare Gartner: „cel puțin, CISO ar trebui să instituie autentificarea multifactorială obligatorie (MFA) pentru toți administratorii.”

alegerea unei soluții de înaltă asigurare fără parolă face mai mult decât sisteme de autentificare sigure. Se elimină, de asemenea, costurile asociate cu parole, cum ar fi apelurile help desk și resetează parola. În plus, going passwordless aduce experiența utilizatorului (UX) la un nou nivel, prin eficientizarea procesului de autentificare. Nu mai stocarea și amintirea acreditărilor, și nu mai transportă în jurul valorii de dispozitive suplimentare pentru verificare.

Citește articolul complet – utilizatorii privilegiați sunt ținte privilegiate

soluție secretă de autentificare CyberArk cu caracatiță dublă

ce înseamnă accesul privilegiat?

acces privilegiat, se referă la accesul la un sistem (on-premise sau nor), care este deasupra benchmark un utilizator regulat de conectare prea. Organizațiile au niveluri diferite de sisteme în funcție de nivelul de risc asociat cu încălcarea/utilizarea greșită a sistemului.
conturile de acces privilegiat sunt utilizatori care au acces la resurse critice de sistem, prin urmare, trebuie să fie protejate și monitorizate.

ce probleme ajută PAM să rezolve? PAM ajută clienții să-și securizeze și să-și controleze conturile de utilizator privilegiate pentru a asigura o mai bună securitate și guvernare și, de asemenea, să respecte unele reglementări.
care este diferența dintre gestionarea identității privilegiate și gestionarea accesului privilegiat?

managementul identității privilegiate (Pim) și managementul accesului privilegiat (Pam) sunt adesea folosite interschimbabil și înseamnă același lucru – asigurarea, controlul, gestionarea și monitorizarea accesului privilegiat la activele critice.

cum acționează PAM?

soluțiile PAM iau acreditări de cont privilegiate – adică conturile de administrator – și le pun într-un depozit securizat-un seif. Odată ajunși în seif, administratorii de sistem trebuie să treacă prin sistemul PAM pentru a accesa acreditările, moment în care sunt autentificați și accesul lor este înregistrat. Când o acreditare este verificată din nou, aceasta este resetată pentru a vă asigura că administratorii trebuie să treacă prin sistemul PAM data viitoare când doresc să utilizeze o acreditare.

Pam utilizează capabilitățile în AD DS?

în general, PAM nu are nevoie de AD DS. Când este implementat cu AD, scopul PAM este de a restabili controlul asupra unui mediu Active Directory compromis prin menținerea unui mediu izolat, foarte securizat pentru acreditările contului privilegiat.

PAM poate fi integrat cu AD DS pentru autentificarea și autorizarea contului de domeniu.

ce avantaje oferă PAM? PAM creează un mediu izolat, foarte securizat și bine controlat pentru stocarea acreditărilor privilegiate și controlul accesului la acestea. De asemenea, asigură urmărirea granulară a utilizării conturilor privilegiate (adică. conturi de administrator), care sunt de obicei conturi partajate.
ce este privileged Session Manager?

sesiuni de utilizator privilegiate, protejează sistemele vizate prin activarea accesului fără a expune acreditările sensibile folosind un server de salt securizat (gazdă administrativă securizată), monitorizează și înregistrează sesiuni privilegiate pentru a îndeplini cerințele de audit și a opri sesiunile privilegiate suspecte în timp real.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *