privilegierad åtkomsthantering
privilegierad åtkomsthantering (PAM) avser en klass av lösningar som hjälper till att säkra, kontrollera, hantera och övervaka privilegierad åtkomst till kritiska tillgångar.
för att uppnå dessa mål tar PAM-lösningar vanligtvis autentiseringsuppgifterna för privilegierade konton – dvs. administratörskontona-och placerar dem i ett säkert Arkiv (ett valv) som isolerar användningen av privilegierade konton för att minska risken för att dessa referenser blir stulna. En gång inuti förvaret måste systemadministratörer gå igenom PAM-systemet för att komma åt sina referenser, vid vilken tidpunkt de autentiseras och deras åtkomst loggas. När en referens kontrolleras igen återställs den för att säkerställa att administratörer måste gå igenom PAM-systemet nästa gång de vill använda behörigheten.genom att centralisera privilegierade referenser på ett ställe kan PAM-system säkerställa en hög säkerhetsnivå för dem, kontrollera vem som kommer åt dem, logga alla åtkomst och övervaka för misstänkt aktivitet.
privilegierad åtkomsthantering av Gartner har följande underkategorier:
- delad åtkomst lösenordshanterare (SAPM)
- SuperUser password manager (SUPM)
- privilegierad sessionshanterare (PSM)
- Application access password manager (AAPM)
Pam password vaults (SAPM) ger ett extra lager av kontroll över administratörer och lösenordspolicyer, samt övervakningsspår av privilegierad åtkomst till lösenord manager (PSM) kritiska system .
lösenord kan följa en veraity av lösenordspolicyer och kan till och med vara disponibla. Sessionsmäklare eller PSMs tar PAM till en annan nivå , vilket säkerställer att administratörer aldrig ser lösenorden, deras härdade proxyservrar som jump-servrar övervakar också aktiva sessioner och gör det möjligt för granskare att stoppa adminsessioner om de ser något fel. På samma sätt kan AAPMs släppa referenser precis i tid för applikation-till-applikationskommunikation och till och med ändra startskript för att ersätta hårdkodade lösenord med API-samtal till lösenordsvalvet.
Läs mer om hur du skyddar dina Pam-användare
CyberArk, en marknadsledare inom området privilegierad kontohantering, säger att de är 7 typer PAM-konton i ett företag:
- Nödkonton : ge användarna administratörsbehörighet till säkra system vid en nödsituation. Tillgång till dessa konton kräver godkännande av IT-hantering av säkerhetsskäl, det är vanligtvis en manuell process som saknar säkerhetsåtgärder.
- lokala administrativa konton: är delade konton som endast ger administratörsbehörighet till den lokala värden eller sessionen. Dessa lokala konton rutinmässigt används av IT-Personal för underhåll på arbetsstationer ändamål och även servrar, nätverksenheter, servrar stordatorer och andra interna system. Det har bevisats tidigare att IT-proffs tält för att återanvända lösenord över en organisation för enkel användning. Detta delade lösenord används någon gång över tusentals servrar och tjänster och är ett mål som avancerade ihållande hot är kända för att utnyttja.
- Programkonton : Dessa konton används av program för att komma åt databaser, köra cron jobb eller skript, eller ge tillgång till andra program. Dessa privilegierade konton har vanligtvis tillgång till känslig kritisk information som finns i applikationer och databaser, till exempel Zapier integrerade konton. Lösenord för dessa konton är ofta inbäddade och lagras i vanliga textfiler, en sårbarhet som kopieras över flera kanaler och servrar för att ge ett ärvfel för applikationer. Denna sårbarhet är väl känd och riktas av advance persistent threats (APT) .
- Active Directory eller Windows domain service account: är en utmaning att säkra minst sagt, lösenordsändringar kan vara ännu mer utmanande eftersom de kräver synkronisering över flera ekosystem och applikationer . Denna utmaning leder ofta till en praxis att sällan ändra programkontolösenord för att undvika katalogutbredning vilket skapar en enda felpunkt i ett kritiskt system som Active Directory.
- Servicekonton: är lokala konton eller domänkonton som används av ett program eller en tjänst för att interagera med operativsystemet. I vissa fall har dessa servicekonton administratörsbehörighet på domäner beroende på kraven i applikationen de används för.
- Domänadministrativa konton: Superadministratörer som har privilegierad åtkomst över alla arbetsstationer och servrar inom organisationsdomänen och ger den mest omfattande åtkomsten över nätverket. Med fullständig kontroll över alla domänkontrollanter och möjligheten att ändra medlemskapet i varje administrativt konto inom domänen är de ett ständigt hot mot organisationer och är allmänt riktade mot hackare.
- privilegierade användarkonton: är användare som beviljas administratörsbehörighet till system. Privilegierade användarkonton är en av de vanligaste formerna för åtkomst till konton som beviljas på en företagsdomän, vilket gör det möjligt för användare att ha administratörsrättigheter på till exempel sina lokala stationära datorer eller över de system de hanterar. Ofta har dessa konton unika och komplexa lösenord men de flesta gånger skyddas endast av lösenord.
Läs mer om hur du skyddar dina Pam-användare
Pam Multi Factor Authentication
för företag som kör en PAM-lösning är det dags att välja rätt plattform för att komma åt den lösningen som håller privilegierade konton säkra.
en multifaktorautentisering (MFA) lösning är ett måste. Som en nyligen genomförd Gartner Research paper drog slutsatsen: ”åtminstone bör CISOs införa obligatorisk multifaktorautentisering (MFA) för alla administratörer.”
att välja en lösenordsfri High assurance-lösning gör mer än säkra autentiseringssystem. Det eliminerar också kostnaden i samband med lösenord som helpdesk-samtal och återställning av lösenord. Vidare ger going passwordless user experience (UX) till en ny nivå genom att effektivisera autentiseringsprocessen. Inget mer lagring och minnas referenser, och inte mer bär runt ytterligare enheter för verifiering.
Läs hela artikeln – privilegierade användare är privilegierade mål
hemlig Dubbel bläckfisk CyberArk autentiseringslösning
privilegierad åtkomst, hänvisar till åtkomst till ett system (lokalt eller moln) som ligger över riktmärket en vanlig användarinloggning också. Organisationer har olika nivåer av system beroende på risknivån i samband med brott/missbruk av systemet.
privilegierade åtkomstkonton är användare som har tillgång till systemkritiska resurser, därför måste skyddas och övervakas.
privilegierad identitetshantering (PIM) och privilegierad åtkomsthantering (PAM) används ofta omväxlande och betyder samma sak – säkra, kontrollera, hantera och övervaka privilegierad tillgång till kritiska tillgångar.
Pam-lösningar tar privilegierade kontouppgifter-dvs. administratörskontona – och lägger dem i ett säkert Arkiv-ett valv. Väl inne i valvet måste systemadministratörer gå igenom PAM-systemet för att komma åt autentiseringsuppgifterna, vid vilken tidpunkt de autentiseras och deras åtkomst loggas. När en referens kontrolleras igen återställs den för att säkerställa att administratörer måste gå igenom PAM-systemet nästa gång de vill använda en referens.
generellt sett behöver PAM inte AD DS. När det distribueras med AD är PAM: s syfte att återupprätta kontrollen över en komprometterad Active Directory-miljö genom att upprätthålla en isolerad, mycket säker miljö för privilegierade kontouppgifter.
PAM kan integreras med AD DS för domänkontoautentisering och auktorisering.
PAM skapar en isolerad, mycket säker och tätt kontrollerad miljö för att lagra privilegierade referenser och kontrollera åtkomst till dem. Det säkerställer också detaljerad användningsspårning för privilegierade konton (dvs. administratörskonton), som vanligtvis är delade konton.
privilegierade användarsessioner, skyddar riktade system genom att möjliggöra åtkomst utan att exponera känsliga referenser som utnyttjar en säker jump-server (secured administrative host), övervakar och registrerar privilegierade sessioner för att uppfylla revisionskrav och stoppa misstänkta privilegierade sessioner i realtid.