即时特权访问管理(JIT PAM)是组织可以实施“ true”的方法 最小特权,以大大减少威胁面。那么,“真正的”最低特权到底是什么意思?我将在此博客中提供简要概述,但是如果您想对这个主题进行更深入的了解,则应该查看我们的新资源: 即时特权访问管理指南:它是什么,为什么需要它,& How to Implement It.

当今最普遍的最小特权

最低权限管理,就像今天通常实践的那样,需要将对用户,进程,应用程序,系统等的特权/特权访问限制为仅足以执行合法活动的访问权限,而无其他限制。而且,这种方法本身在减少威胁面方面非常有效。例如,正如我们在最新的年度报告中所报告的 Microsoft漏洞报告,通过删除用户的管理员权限可以缓解Microsoft在过去五年中发布的88%的严重漏洞,并且可以通过以下措施消除所有Microsoft漏洞的81% 删除本地管理员权限。这只是强制执行足够的访问权限的惊人的降低风险功能的一小部分,而这正是通常设计和实践最小特权的方式。

然而,特权的滥用和/或滥用在当今几乎所有网络安全漏洞事件中都起着作用。在某种程度上,这是因为许多组织甚至还没有实施最低特权的基础(即只需足够的访问权限)。但是,这也是因为组织忽略或忽略了一项基本的最低特权,从而限制了特权/特权访问的持续时间。

尽管仅实施了足够的访问,但剩下的问题和剩余的特权风险是特权用户帐户(例如Admin或Root)仍然:

  • 总是 enabled
  • 总是 有他们的权利和特权
  • 能够 总是 对资产执行特权任务

如今,功能强大的特权用户帐户始终在线(24×7) 特权访问 proliferate across enterprises. This presents a massive risk surface as it means the 特权访问, rights, and permissions are 总是 in a privilege-active mode and ready to be exercised—for legitimate activities as well as for illicit ones. This 总是-on model essentially equates to a vast over-provisioning of privileges, 关ering 网络威胁参与者 拥有行动的广阔机会。

什么是即时特权访问管理(JIT PAM)?

真正的最低特权安全模型要求用户,流程,应用程序和系统具有足够的权限和访问权限—并且不再超过要求—执行必要的动作或任务。消除特权用户帐户的持久特权访问-并仅在执行活动所需的持续时间内激活它-是大多数组织已忽略实施的最低特权组件。

实施JIT PAM可以确保身份仅在必要时且在最短的时间内拥有适当的特权。该过程可以完全自动化,因此对最终用户而言是无摩擦且不可见的。

JIT PAM极大地限制了帐户拥有提升的特权和访问权限的持续时间,从而大大减少了威胁参与者可以利用帐户特权的漏洞窗口。此外,通过限制特权会话,JIT PAM简化了审核和合规性活动。

考虑一个典型的永远在线的特权帐户,该帐户可能每周168个小时处于“特权活跃”状态。通过转换为JIT PAM方法,可以将特权活动状态从168小时减少到几个小时,如果很少需要使用该帐户,则可以减少几十分钟。将这种影响乘以企业所有特权用户帐户后,将对降低风险产生真正的巨大影响。

将即时作为您的特权管理方法的一部分意味着您可以在整个企业范围内实施真正的最小特权模型。而且,暴露不只是基于时间,而且由于没有“始终在线”特权帐户来利用资源,因此利用横向移动等技术的攻击向量也得到了缓解。

这是当您只实施了权限最少的访问权限时,您的IT环境的外观的代表。

在具有特权访问模式始终在线的环境中,特权用户帐户始终处于活动状态(绿色)。

这是对您的环境具有真正最低特权的外观的表示,这意味着消除了永远在线访问,并且实施了JIT PAM。

在使用即时特权访问启用真正的最小特权的环境中,只有少数特权帐户“on”在一天中的任何给定时间点。在一天的不同时间,会有不同的帐户“off”(红色),而其他人会“on”直到执行授权的活动并撤销特权。

JIT特权帐户的目标是根据批准的任务或任务自动“动态”分配必要的特权,然后在任务完成或授权访问的窗口或上下文过期后将其删除。当请求特权时,该特权必须符合必需的上下文参数,然后才能检出-该特权永远不属于该帐户。

即时特权访问管理的概念刚刚开始获得市场关注,  BeyondTrust PAM解决方案 长期以来一直能够实现JIT PAM和真正的最低特权。

如果您想进一步了解如何发展最低特权环境并实施JIT PAM,请下载 即时特权访问管理指南:它是什么,为什么需要它,& How to Implement It。该权威指南提供:

  • JIT特权管理概述
  • 实现JIT PAM的实用模型的技巧
  • 建立JIT政策的参数
  • BeyondTrust解决方案如何启用JIT PAM的概述
  • 关键概念和术语词汇表

并且,如果您想讨论BeyondTrust如何帮助您的组织实施真正的最低特权, 今天联系我们.

资源: //www.beyondtrust.com/blog/entry/just-in-time