最近各種研究都表明：公司需要更多地去關注他們的特權賬戶。

自從獲悉了VERIZON的數據丟失調查報告所顯示的63%的數據丟失與默認的弱密碼以及密碼被盜有關后，特權訪問管理(Privileged access management - PAM) 已被諸多安全經理所親睞。因為黑客常用的獲取數據的工具就是和特權賬戶有關。

本周有兩篇涉及PAM的最新報告指出：盡管大家對PAM的意識正在增強，但要想使之成為主流，仍有許多“功課”需要去做。例如，BeyondTrust.com發布的一份報告指出：76%的頂級公司已應用密碼循環更新策略，而只有14%的底層公司真正遵循著這些最佳實踐。那些所謂的頂級公司占BeyondTrust研究的550名受訪者中的三分之一。BeyondTrust特權策略總監斯科特·朗表示：“頂級公司之間[和]或其他公司之間的差異其實還是蠻大的。引人注目的是只有3%的受訪者說他們有實時終止會話的能力。”

受Forcepoint之托，Ponemon研究所在2011年和2014年對PAM做了持續研究。本周其發布的報告顯示：在今年基于704名受訪者的研究中，91%的人相信：用戶特權的濫用所引發的風險將在未來12 - 24個月有所增加或至少持平。研究還發現：39%的人對特權用戶訪問的完整可見性能力缺乏信心，也無法評判用戶是否在按合規辦事。只有18%的人對此能力有足夠的信心。

“很多組織甚至不能說出什么是Ground Zero (一個小有名氣的信息安全峰會的名稱),” Forcepoint的聯合科技銷售總監邁克爾·克勞斯說，“公司專注于外部威脅無可厚非，但內部特權用戶所導致的數據泄漏同樣重要，甚至更具破壞性”。他還說：“各級組織必須意識到他們所授予特殊訪問權限的人具有很大的破壞力。他們可以安裝一些僅在兩周后甚至是其離開公司數月后才生效的惡意軟件。”

基于上述對朗先生、克勞斯先生的采訪以及兩份報告所提及的數據，本文提出以下七個小貼士，旨在幫助信息安全經理們提高其PAM的管理實踐能力。

1. 實施最小特權政策

特權用戶應該只有工作所需的訪問權限。Forcepoint/Ponemo所出具的報告發現：74%的受訪者說，特權用戶認為他們有訪問所有信息的權限;而66%的人認為特權用戶出于好奇心會去訪問敏感的或機密的數據。另外58%的人認為公司組織通常分配了遠超過個人的角色和責任的特權訪問權限給用戶。

這個“最小特權政策”的概念也可以擴展到所有用戶上。專家建議公司對訪問應用程序進行授權，且不做訪問特權的擴展。公司沒有理由讓一個人擁有超出其工作范圍的訪問特權。比如說：如果一個員工在家工作時需要訪問一個打印服務器，其公司僅授權他去訪問一臺指定的打印服務器。這樣一旦他們設置好服務，打印連接建立好后，便可馬上撤銷相應的許可權限。

2. 使用漏洞評估來管理風險，獲取組織里特權帳戶的可見性

BeyondTrust的報告指出：91%的頂級公司進行著漏洞評估;而只有20%的最底層的組織這么做。沒有公司風險狀況的可見性等于開啟了組織的潛在風險之門。比如說：通過對企業進行常規的漏洞評估，他們可以獲知30、60或90天沒給系統打補丁這個漏洞的存在。也就是說，通過漏洞評估，他們可以明智的決定是否要發布一個補丁到系統里。

3. 建立一個密碼集中管理的政策

BeyondTrust的報告也指出：92%的頂級公司對特權用戶實施密碼集中管理;而只有25%的最底層的公司是這么做的。公司也經常需要周期性更新密碼。這個周期可以是每10、20或30天，具體可以根據組織自身情況而定。

4. 加強對特權會話的監控

BeyondTrust的報告同時指出：71%的頂級公司有監控特權帳戶的會話的能力;而只有49%的最底層的組織能做到這一點。約45%的公司既可以實時觀察又能實時終止會話;而只有3%的公司只能做到實時終止他們的會話。記住：當一些非尋常的行為發生時，能夠監控并終止掉該會話的能力對于保護組織的系統是非常有效的。

5. 對已獲特權訪問的帳戶進行徹底的背景調查

Forcepoint/Ponemo所研究的大多數組織里，63%在發放特權憑證前執行過徹底的背景檢查。這相對于2014年的57%比例已有所上升。然而，事實上37%的組織因為怕引起用戶恐慌這一潛在的風險而不執行背景調查。

6. 現代化的組織特權用戶培訓方案

Forcepoint/Ponemo所研究的受訪者中，約60%的有著定期的特權用戶培訓方案，但只有27%的人認為這些培訓方案有著大幅度降低風險的能力。原因是：大多數的培訓內容是那種靜態的復選框式的30分鐘視頻，因此會給人帶來乏味感。而如今的工作者，他們大多是注意力不易集中的千禧一代，反而會對有互動的培訓材料反應更好些。

7. 向分配給業務部門特權用戶認證的責任

Forcepoint/Ponemo研究發現：46%的受訪者認為，部門經理是最有責任進行特權用戶角色認證授權的。這確實也是一個很好的并值得強化的趨勢。IT安全分析師們有著這樣面向流程的“世界觀”：他們認為“誰可以訪問哪些應用程序和數據集”應該是由有著更廣闊的公司運營觀的業務部門經理所決定的。