特权帐户(privileged account)到底是什么?为什么它们很重要?

特权帐户里面含有企业组织用来访问数据中心中和整个企业运行的所有设备的全部登录信息。这包括操作系统、数据库、程序和所有网络设备(比如路由器和交换机)的密码。

所以简而言之，访问特权帐户的密码无异于打开数据王国的钥匙。

在特权帐户管理厂商Thycotic发布的一份新的特权帐户管理(PAM)报告中，这家公司发现，虽然80%的调查对象认为PAM是重要的优先事项，但是大约52%的调查对象在确保特权帐户安全方面的表现并不及格。

Thycotic的高级副总裁斯蒂夫·卡亨(Steve Kahan)补充道，安全管理人员之所以需要专注于PAM，是由于《韦里逊数据泄密调查报告》发现，63%的泄密事件涉及薄弱、默认或被盗的密码。

卡亨还指出了这份新的PAM报告中的另外一些重点：

·20%的调查对象表示，他们从来没有更改过默认密码。

·30%允许共享密码。

·70%并不要求特权帐户密码的设立通过批准。

·50%并不审计特权帐户的活动。

卡亨说：“如果你看一下这部分数据，确实让人震惊。虽然安全管理人员仍需要部署防火墙、入侵检测及防护和安全漏洞评估之类的工具，但他们还需要开始考虑减小特权帐户面临的风险。”

下列七点让安全管理人员可以深入了解如何更有效地管理特权帐户。

1. 教育主要的利益相关者。

首先要教育企业组织的主要人员，让他们了解特权帐户管理。解释公司制定了什么样的政策，如果公司没有这样的政策，就要制定一套。让大家了解你想怎样限制和控制特权帐户访问，这点很重要。

2. 找出特权帐户。

面对整个企业环境，尤其是数据中心，找出你的特权帐户在哪里。最好集中存储特权帐户，并限制访问。这里的要点是：深入了解公司可能面临的风险。

3. 实现PAM的管理和安全自动化。

PAM调查指出，虽然绝大多数的企业组织部署了防火墙，但是只有10%拥有自动化的PAM解决方案。据报告显示，10家企业组织中有6家使用手动方法(比如电子表格和列表)来跟踪记录特权帐户密码。使用这份免费电子书(https://thycotic.com/resources/it-automation-ebook/)，了解企业组织可以实现自动化的五大任务。

4.采用和实施安全策略。

针对帐户访问，采用最小权限访问策略。太多的公司授权系统管理员(甚至普通用户)可以访问一切;只要其中一个帐户受到危及，攻击者就可以用它入你整个企业。如果更详细地限制访问，你就能减小潜在风险。

5. 为高层管理人员提供更高的可见性。

向首席信息安全官提供详细报告，表明除了遵守公司自己制定的安全政策外，公司还遵守所有的监管和审计标准。企业组织应该让首席信息安全官了解情况，那样他才能把信息带给公司的高层管理人员，并解释公司的安全状况如何得到了改善。

6. 接受特权密码漏洞调查。

如果接受这项调查(https://thycotic.com/solutions/free-it-tools/free-password-vulnerability-benchmark-tool/)，贵企业就能得到相应的分数，查明自己相比其他企业组织在这方面做得怎样。

7. 制定自己的一项PAM策略。

不妨使用这个免费的安全策略模板(https://thycotic.com/solutions/free-it-tools/free-password-vulnerability-benchmark-tool/)，它可以帮助安全管理人员制定PAM策略和公认的行业最佳实践。