特权提升是 IT 团队向标准用户提供的独占、有时间限制的访问,这些用户通常无权访问关键企业资源,简而言之,权限提升不是授予永久或长期权限,而是允许在特定时间范围内访问某些企业资产。
例如,需要访问不属于其权限范围的资源的员工将需要基于时间的特权提升才能执行相关任务,这确保了他们只能在指定时冒险进入授权区域,而无需采取不必要的控制措施。基于需求的访问委派可防止授予过多权限,并增强组织的 IT 安全性。
当恶意内部人员试图非法访问企业资源时,就会发生权限提升攻击,孤立帐户或具有永久提升权限的帐户允许此类用户访问企业的僻静边界并执行数据泄露等恶意操作。
在企业场景中,提权攻击通过以下方式对系统访问功能进行渐进式控制:
将特权提升和委派管理合并到企业工作流中,允许向用户授予受控权限,从而简化特权提升策略,并有助于建立高效的零信任模型。
PEDM 是特权访问管理(PAM)的一部分,旨在根据非管理员用户的要求为其提供临时的精细权限。
通过利用 PEDM,IT 团队可以确保仅在需要时才能授予对特权帐户和资源的访问权限。当与 PAM 系统集成时,这种精细功能可以降低意外暴露帐户和密码的风险,从而防止攻击者和恶意内部人员通过企业的特权途径横向移动。
虽然特权帐户和会话管理(PASM)解决方案应用最小特权原则(POLP)通过其数字密码保管库提供对特权凭据的受限访问,但它们只能在全有或全无的基础上授予访问权限。在这种情况下,将为用户提供临时管理员帐户(也称为临时帐户),这些帐户为他们提供对目标系统的完全访问权限,包括他们不需要或不应访问的应用程序和服务。如果这些临时帐户进一步与更多用户共享,或者更糟糕的是,遭到入侵,任何威胁行为者都可以完全控制目标系统。
授予用户更高的权限和对关键帐户的永久访问权限会带来重大的安全风险,即使通过意外暴露,这种长期特权也有可能使攻击者能够访问组织最有价值的资源。此外,如果这些用户以纯文本格式共享其凭据或密码泄露,他们可能会向攻击者提供对其权限的完全控制,而传统安全措施无法检测到这些攻击者。PEDM 旨在通过使用基于时间和基于请求的方法允许用户和应用程序访问特权信息来解决这个问题。
使用 PEDM 解决方案后,将根据对其要求的验证在规定的时间内访问敏感信息,并在该时间之后撤销这些权限。此模型结束了为用户提供永久永久特权,这是滥用的媒介。
如果用户需要更高的权限才能访问关键系统和应用程序,则必须向管理员发送权限提升请求。管理员将审核和验证这些请求,然后在有限的时间内向用户授予权限提升。这称为实时特权访问管理(JIT PAM),其中根据请求的优点临时授予特权。
PEDM 通常使用 PAM 解决方案实现。例如,管理员可以在规定的时间内向用户授予数据库访问权限,并可以禁用任何关键操作,例如更改密码、删除和编辑,以避免对数据库进行未经授权的修改。此外,此用户将仅获得基本视图访问权限,该访问权限将在请求的期限后撤销。随后将使用 PAM 解决方案轮换此类关键资产的凭据,以确保将来不会出现未经授权的访问尝试。
PEDM 使 IT 团队能够根据用户请求的有效性强制实施精细权限。在授予与某些应用程序、系统、脚本和进程关联的更高权限时,组织可以通过施加内置限制和基于时间的要求来改善其特权访问安全状况。通过这种精细的控制授予权限提升,IT 团队可以采用最小权限原则,仅向非管理员用户提供执行其工作所需的权限。
在 PAM 策略中包括特权提升和委派控制涉及六重方法。
PEDM 是 PAM 领域真正的游戏规则改变者,行业监管机构和领导者现在正在推动将其作为基准访问控制策略。将 PEDM 纳入 PAM 策略的最大优势之一是通过有效管理权限来主动预防内部和外部威胁参与者。通过实施其他控制措施(如最低权限),PEDM 在应用程序和进程级别而不是在用户级别工作,这使管理员可以更轻松地对特权帐户和资源进行全面和精细的控制。