国际权威技术分析与咨询研究公司Gartner公司在2018年、2019年连续两年将“管理特权账户(PAM)”纳入年度“年度十大安全项目回顾”而且都排名第一。那么,什么是特权账户管理呢?
今天,我们将讨论特权账户管理的相关问题,包括什么是特权账户、特权账户的风险、特权账户的特点、特权账户管理的难度、如何管理特权账户、特权账户管理的核心能力、特权账户管理与其他相关管理体系的关系等。
一、什么是特权账户?
不同的人对特权账户有不同的看法。有人认为特权账户是操作系统中的一个root在账户和数据库中DBA账户;有些人认为特权账户不仅应该包括在内;root、DBA超级管理员账户还应包括操作系统和数据库中的普通权限账户;其他系统包括网络设备、安全设备、集中管理控制平台(云管理平台、自动化管理平台等)。Web管理后台(Weblogic管理背景,虚拟专用网设备Web管理后台等)等。
根据作者的观点,特权账户是在企业运营过程中给予相关业务运营、系统管理、系统运营维护等人员的系统维护、权限增加、数据修改、删除、导出等高级权限的系统账户。这些账户及其持有人掌握了企业信息系统的生死计划。大多数时候,这些账户都在护送公司业务的正常发展。然而,道和魔法,在思想之间。邪恶的想法,或“无意一指”,这些缺乏控制的特权账户可能会给公司的业务带来灾难。
判断一个账户是否是特权账户的简单方法是“该账户进行了极具破坏性的操作(包括删除、增加权限等),是否会直接影响他人和第三方,导致他人或第三方无法工作、信息泄露等”,比如OA管理员删除了用户OA帐户或所有OA账户被删除,其他用户无法使用OA系统,你说OA管理员是不是特权账号?再比如某个网络管理员,登录单位防火墙、路由器、交换机把所有的访问策略、路由配置都删除了,你说这个网络管理员账号算不算特权账号?
有时候,特权账户和个人账户的表现形式可能是一样的,比如OA帐号,域帐号,LDAP统一认证账户等,但在不同的系统中,该账户被赋予了不同的权限。当作为一名系统管理员时,该账户具有一定的特权,并成为一个特权账户。例如,一个员工是一个邮件系统管理员,当它通过邮件客户登录到他的邮箱时,他是一个普通的账户,但当他登录到邮件系统的管理背景时,他是一个特权账户。当然,有些系统(据我所知,这“有些”是“很多”)管理后台账户是通过单独创建账户,然后“新账号”账户凭证告诉员工让他成为系统管理员。此时,员工的特权账户就是这个“账号”,而不是他的OA帐号、域帐号等。
一般来说,作者认为特权账户可以分为以下两种场景:一种是Web以业务系统为代表的业务系统及其管理背景的特权账户;另一种是以操作系统、数据库、网络设备为代表的信息基础设施管理背景的特权账户。这两个账户有什么区别?第一类特权账户可以与员工一起使用OA账户或员工号码保持一致,并应尽可能保持一致。员工离职、调动等变更可以通过删除员工的账户权限取消授权;第二类特权不一定此类特权账户从操作系统、数据库和网络设备的操作和维护角度设置。一旦设置了此类账户,就不能随意删除。因此,当员工离职、转岗等变更时,不能通过删除账户来实现账户权限回收。此时,可能的方法是修改账户登录凭证,限制登录源IP地址等替代手段。
对于第一类账户,即与员工合作OA账户一致的Web企业内部可以使用类应用系统特权账户SSO与LDAP通过用户数据库对接LDAP对用户密码进行统一管理。这不属于本文的重点,本文主要关注第二类特权账号的管理问题,即那些LDAP管理无法管理的特权账户。
二、特权账户的特点是什么?
分散。首先,特权账户分散在业务系统、应用程序、数据库、网络设备、各种应用程序系统和操作系统中。只要你在企业中能看到的任何信息系统都至少有一个特权账户。你看到的、听到的和听不到的系统都包含特权账户。二是特权账户的持有人分散。他可能是数据中心的技术运维人员、企业总部业务、物流、人力资源等部门的人员、偏远子公司的业务运营商等。但总的来说,总部的科技部门和业务部门应该占绝大多数。
数量很多。企业拥有多少信息系统资产(软件、硬件等),但通常,信息系统不能只管理一个人或一个账户,因此系统可以创建多个特权账户。据估计,特权账户的数量可能达到企业信息系统(主机操作系统、数据库、业务系统、管理系统等)的数量5-10倍,甚至更多。
权限很大。由于它被称为特权账户,它必须有一定的特殊权限,如增加用户、批量下载数据、执行高权限操作、删除核心数据等。此外,根据业务系统的重要性,特权账户拥有特权的风险越大。
三、特权账户存在哪些风险?
特权账户保管不善,导致登录凭证泄露丢失,被恶意攻击者和别有用心的人获取,然后被攻击者使用登录凭证非授权访问业务系统,可能导致系统数据删除,恶意增加管理员权限,非法下载大量数据。特权账户从创建、使用、保存、取消等整个过程面临更大的泄露风险,如一些特权账户需要多次流通(从超级管理员到普通管理员),一般使用电子邮件、微信,一些高安全意识也可能加密,一些安全意识差或紧急情况,密码明文传输无处不在。如果攻击者获得了一些账户和密码,它可能会对企业进行大规模的横向扩展攻击,导致系统遭受大规模入侵。
特权账户持有人恶意破坏,恶意破坏自身运维的信息系统,如删库、格式化等操作,如前段时间微联盟员工恶意删库。2020年2月25日,微联盟发布公告称:“自2月23日19时起,公司发现服务出现故障,大型服务集群无法响应,生产环境和数据受到严重破坏。经调查,故障由微联盟核心运维人员造成“个人精神,生活原因”恶意破坏。微盟预计,数据修复只能在2月28日晚上24点前完成。”原因是有特权账户权限的核心运维人员恶意破坏。
特权账户持有人监视自盗,利用自己的特权账户非法下载大量数据,查看他人的敏感信息。
当特权账户持有人操作错误时,人们总是会犯错误,尤其是在非常疲劳的情况下。由于特权账户具有较高的维护权限,因此操作更具破坏性。例如,操作系统的操作和维护人员在清理磁盘数据时没有看到操作路径并使用它rm -rf *.*删除数据库目录下的所有数据文件。
四、特权账户管理难点在哪里?
很难控制企业特权账户的全貌。目前,企业中存在的特权账户、分布在哪里、使用这些账户的人都是一个混乱的账户,缺乏长期的自动发现和跟踪。
很难动态管理特权账户凭证(密码、密钥等。),比如定期更改。特权账户太多,每个运维人员都需要掌握几个、几十个甚至几百个特权账户,以及定期更换密码、密码强度等管理要求。对管理员来说简直是灾难,导致通用密码、固定密码等问题无法避免。
账户凭证传递缺乏有效手段。A系统的特权账户不仅可以由一名管理员操作和维护,还可以由其他四五名管理员操作和维护,还可以由其他下游系统使用。如果凭证变更后无法有效传输,则下游应用程序可能无法同步,导致生产故障。
缺乏对特权账户凭证集中自动化管理的信心。特权账户集中管理后,特权账户管理员本身可能无法掌握账户密码,导致管理员对特权账户集中管理的信心严重不足,担心集中管理平台本身的风险,导致整个信息系统无法控制和维护,造成严重的安全事故。
五、如何管理特权账户
对于一个企业安全经理来说,在了解了以上关于特权账户的相关内容后,下一步就要注意如何管理了。有哪些解决方案?按照惯例,我们先来看看成熟的特权账户解决方案。Gartner2018年和2020年,特权账户管理魔法象限图分别发布。图中几家领导象限的企业包括Cyberark、BeyondTrust、Centrify等等,不幸的是,首先,这些企业在中国只有大量的业务,其他几家没有代理机构,其次,这张照片没有国内企业在名单上。IBM、Oracle企业也有自己的特权账户产品。
这里有一个题外八卦。在研究、研究和测试特权账户管理解决方案的过程中,国内几家堡垒机制造商开始声称他们有特权账户解决方案。这里有一个特权账户制造商“鄙视链”。
- 外国制造商表示:我们是中国唯一的特权账户解决方案,其他都是堡垒机。国内制造商提到的特权账户解决方案是假的。
- 国内制造商:我们是中国唯一的特权账户解决方案制造商,其他都是堡垒机,而不是真正的特权账户解决方案。
- 国内其他厂商:我们不仅是堡垒机,还有特权账户解决方案。
(1) 账户集中管理:高度分散的特权账户安全控制是不可行的。因此,笔者认为,特权账户管理技术防控措施的主要思路是“先集中,再采取控制措施”。特权账户只账户集中时,才能进行一些有效的管理,如实施统一的安全策略、方便的审计等。如果账户分各种系统中,如果特权账户不能集中托管,显然不适合管理。这是特权账户管理的第一步,需要建立一个能够满足多元化系统密码托管能力的统一平台。该平台必须具有良好的平台兼容性,否则操作系统平台和数据库平台仍难以维护和使用特权账户管理。
(2) 密码密码管理:特权账户管理的核心是密码管理。密码应通过自动化手段定期修改和设置密码安全策略,使密码密码满足高复杂性、一机一密、定期修改的要求;
(3) 账户自动发现,无论任何系统,从系统建立到销毁的整个生命周期都可能持续数年。在此期间,由于测试需要、人员变动等原因,系统中可能建立了许多长期未使用的账户。这些帐户长期缺乏维护,风险很大。因此,特权账户管理需要有能力找到一些僵尸账户和多余账户;
(4) 访问管理:提供访问管理功能的原因有几个。首先,在托管账户密码后,管理员无法掌握密码后,集中管理系统必须提供特权账户访问渠道,否则无法管理目标系统;其次,管理员应能够提供高风险行为阻塞、二次验证等功能。第三,其他网络访问策略不允许在统一访问控制渠道后打开。因此,业务系统管理人员需要主动联系对接特权账户集中平台,在一定程度上避免“业务系统先上线,安全人员后被动跟进”困境。访问控制也是国内堡垒机制造商的核心能力。然而,当我最近听到国内一家传统堡垒机制造商解释特权账户解决方案时,我忽略并削弱了这一块。我只是说我可以与我自己的堡垒机联系起来,平行堡垒机和特权账户管理。笔者认为,堡垒机的功能是特权账户解决方案的子集,必须纳入特权账户解决方案的整体考虑,而不仅仅是联动。
(5) 提供密码调用服务:密码密码托管后,如果不能提供有效的服务API接口供下游系统调用,无法实现特权账户管理平台定期修改密码的功能。因此,特权账户管理应该能够为第三方系统提供服务API呼叫服务。笔者认为,国内堡垒机制造商被排除在外PAM除了制造商之外的主要原因,国内堡垒机长期具有账户管理功能,可以托管一些账户密码,但不提供API调用能力导致他们只能修改一些不会被他人使用的账户密码,其他系统使用的密码只能保持固定。
6、流程控制:流程控制最重要的是将审批过程与特权账户的使用过程相关联,并在特权账户的使用过程中设置关键控制点。例如,在填写特权账户密码时,密码必须在审批过程批准后才能发布和填写。例如,特权账户的危险操作行为,如rm -rf *.*、DROP Database等等,必须通过第二个人的审查或增加一步验证确认链接。增加特权账户的审批和确认流程,以降低特权账户的误操作和恶意操作风险。
7、日常监控:通过集中的特权账户管理平台,无需监控分析和审计人员逐一连接大量业务系统,识别用户的操作行为,阻止高风险操作,如rm -rf *.*等待用户UEBA的分析,比如目标系统登录日志出现了非统一访问控制通道发起登录操作,操作日志中短时间出现了大量的新建、删除、修改、批量导出等高危操作,即可判定为异常,从而发出告警,让管理人员进行进行应急响应。
8、日常审计:风险管理领域有名“三道防线”理论,即建设、风险管理和审计。在特权账户控制方面,系统建设、流程建设和技术控制手段是一道防线,操作监控应是两道防线。安全控制措施的最后一道防线是定期审计和评估安全措施是否落实和整改。无论系统、流程、技术或操作手段有多好,都可能缺乏适当的审计措施“系统实施不到位,流程流于形式,技术控制失效”等问题。
六、企业在实施特权账户管理企业应该关心什么?
1. 与各种平台和系统兼容
如果一个平台有一定的特权账户管理能力,但只能支持一两个平台和系统的账户管理,那么它可能不能被称为真正的特权账户管理平台。这也是国内堡垒制造商受到外国制造商批评的主要原因之一。目前,典型的特权账户管理平台支持的平台和系统类型包括以下内容:
- 操作系统:支持Windows系列(本地及AD域账号)、IBM AS 系列、Linux系列、Unix系列、Aix等
- 数据库:支持ORACLE、SQL SERVER、SYBASE、MySQL等
- 网络及安全设备:支持思科、华为、华为、绿盟、360、山石等厂家的交换机、路由器IDS、网闸、防火墙、带外管理等网络安全设备
- 支持阿里云、腾讯云等云管理员账号AccessKey托管等特权账号,支持自动更改此类账号密码。
- 支持通过底层账户自动扫描阿里云和腾讯云,安全托管账户,自动更改账户密码。
2. 账户凭证(密码)自动变密的可靠性
一个号称具有自动改密功能的特权账号管理平台,如果在改密过程中老是出错,在实验室环境下,即便改密正确性达到99%也不行,10000个账户改一次错100个,更别说复杂的数据中心环境了,对于系统管理员来说,是不可忍受的。但是,很不幸,目前没有一个权威测评机构进行相应测试验证,所有的可靠性都是厂商自家说辞,没有大面积的应用是很难验证出来的。在这儿,笔者认为可以多与其他甲方进行调研,问问别人用什么,有没有什么坑,然后选口碑好的、应用时间长的。
3. 特权账户平台本身的安全性和鲁棒性
平台本身的安全性和鲁棒性主要关注该方案是否充分考虑备份、灾后切换、灾害恢复、信息安全等措施。甲方是否有典型的部署、实施和实践经验。
4. 密码调用接口的稳定性和安全性
一方面,随着特权账户管理平台的目标数量的增加,未来将有越来越多的系统需要调用系统的密码来获取接口。该接口的稳定性非常重要,不会出现严重的服务不可用性问题。另一方面,密码调用接口本身应具有访问控制、密码安全传输、接口认证、防止批量提取等能力,否则平台可能成为集中的密码泄漏通道。它还支持不同应用程序的密码访问,如支持应用程序系统源代码、配置文件(包括txt、ini等)、API接口帐户、服务帐户、计划任务、中间件数据源密码等
5. 横向扩展能力
企业信息化过程是一个逐步深化的过程。随着时间的推移,企业信息系统和数据中心的数量将继续增加。因此,优秀的特权账户管理平台必须具有较强的横向扩展能力,以满足企业快速信息化过程中特权账户控制的要求。
七、其他可能关心的问题
1. 特权账户管理系统与堡垒机的关系
每个第一次接触特权账户管理的人在听了特权账户管理的相关功能后,都会有一个问题。他和堡垒机有什么关系?这里有几种观点与读者分享:首先,特权账户管理本身具有堡垒机功能。正如前面所说,堡垒机功能是特权账户管理的子集。从某种意义上说,特权账户管理解决方案可以完全取代堡垒机解决方案。第二,如果我们必须找出它们之间的区别,那么我认为堡垒机的核心功能是控制目标主机的访问管道,而特权账户管理的核心功能是管理目标主机的账户密码。第三,在过去的解决方案中,国内堡垒机制造商过于关注访问控制、密码管理和密码API接口服务支持不足,不能称为特权账户解决方案。第四,随着时间的发展,我认为特权账户解决方案已经基本形成,就像汽车一样,一个发动机,一个框架,四个轮子,一百年没有改变,国内堡垒机制造商肯定会朝着这个方向发展。
2. 特权账户管理系统LDAP/IAM系统的关系
说到账户,另一个令人困惑的问题是特权账户管理系统和LDAP/IAM系统的关系,特权账户管理系统管理的账户是机器上的账户;而LDAP/IAM系统管理的账户为人类账户,其关系如下图所示(图中的特权账户)root、dba只是例子,实际情况比这个范围大很多)。用户使用LDAP经双因素认证后,登录特权账户系统,特权账户管理系统纳管目标系统的特权账户。然后,授权托管账户到相应的账户LDAP管理账户管理员。
3. 网络攻防中特权账户管理系统的价值
一些安全界的朋友说,弱密码、各种弱密码、系统弱密码、应用弱密码和用户弱密码。如果密码问题得到很好的解决,我认为它可以解决企业至少50%的安全问题。当攻击者进行渗透攻击时,除了使用漏洞外,许多攻击立足点仍然是用户账户,通过弱密码和通用密码进行单点突破和水平移动。如果一个平台能够实现账户密码是强密码,而且它真的是一机一密,一个账户和一个密码,那么内部网络的水平攻击就不那么简单了吗?
八、结束语
从技术上讲,现在市场上“管理特权账户”的相关解决方案的确是一种比较好的管理特权账户解决方案;但是,从甲方企业视角看管理特权账户,他们的解决方案只是企业管理特权账户整体解决方案的一个点或几个点。做个类比,如果把企业安全建设看作是一个“战略”,企业管理特权账户一个“战术行动”,上述公司提供的解决方案最多只能计算“一场战斗或几场战斗”。
然而,这些战斗可能是在特权账户管理中“重点战役”、“核心战役”,但如果没有别的“战役”单靠这些战役很难做到支持“战术目的”。甲方企业的特权账户管理必须从制度建设、流程控制、技术控制、监控审计等方面提出整体解决方案,在特权账户管理领域形成更有效的安全控制能力。特权账户管理平台的建设只是一个开始。