因能訪問公司最寶貴的信息，特權賬戶往往成為攻擊者競相追逐的目標。

公司企業必須安全有效地管理特權訪問。

很多合規規定都對特權用戶管理提出了強安全控制建議。

為符合這些要求，預防災難性數據泄露發生，公司企業在日常安全操作中實現了各種各樣的特權訪問管理 (PAM)。

但如何選擇合適的 PAM 解決方案?需要找尋哪些功能呢?

1. 持續發現特權賬戶你無法保護看不到的東西。

所以，發現網絡中每一個特權賬戶是必備功能。

PAM 解決方案應能發現人類用戶和應用所用的各種特權賬戶。

只要擁有了網絡中所有特權賬戶的完整可見性，就可以輕易擺脫不必要的管理員賬戶，指定哪個賬戶，或者哪個特定用戶，可以訪問哪些關鍵資產。

還可以更進一步，通過刪除所有默認管理員賬戶來夯實系統安全，實現最小權限原則或零信任安全方法。

實現這些功能的最大挑戰，是保持特權賬戶相關數據更新。

只要提權出了任何差錯，公司網絡安全就陷于嚴重風險之中了。

2. 多因子身份驗證多因子身份驗證 (MFA) 功能是確保只有正確的人能夠訪問關鍵數據的必要方法。

這種方法還可以緩解惡意內部人 “借用” 同事密碼的風險，防止內部人威脅。

大多數 MFA 工具都提供兩種驗證因子的組合：·所知(用戶憑證)·持有(生物特征、發送到用戶經驗證移動設備上的一次性密碼等)實現該功能的主要挑戰之一，是定義哪些終端和資產需要受到最嚴格的保護。

為避免給員工造成太大麻煩，應只在必要的時間和位置實現 MFA 功能。

3. 會話管理很多安全供應商將特權訪問與會話管理 (PASM)，作為單獨的解決方案，或 PAM 軟件的一部分提供。

監視和記錄特權會話的功能，為安全專家審計特權活動和調查網絡安全事件，提供了所需的全部信息。

實現該功能的主要挑戰，是將每一個記錄下的會話與特定用戶關聯起來。

在很多公司里，員工都會使用共享賬戶訪問各種各樣的系統和應用。

如果他們使用相同的憑證，不同用戶發起的會話，就會被關聯到同一個共享賬戶上。

為解決該問題，PAM 應能為共享賬戶和默認賬戶提供次級身份驗證功能。

如此一來，如果用戶以共享賬戶登錄系統，還需額外提供個人憑證，以便確認該特定會話是由該特定用戶發起的。

4. 一次性密碼確保只有正確的用戶能夠獲得關鍵資產訪問授權的另一方式，是部署一次性密碼功能。

該功能最適用于授予第三方承包商訪問公司重要信息資產的適時 (JIT) 訪問權。

一次性密碼的有效期很短，而且不能重復使用，所以能夠降低數據泄露的風險。

5. 用戶及實體行為分析 (UEBA)用戶及實體行為分析 (UEBA) 工具有助于早期警示特權賬戶被盜的事實。

UEBA 工具分析其他 PAM 工具記錄下的數據，包括會話記錄和日志，識別常規用戶行為模式。

如果特定用戶或實體的行為開始偏離其典型模式，系統就會將之標為可疑。

UEBA 工具旨在幫助補全其他安全工具的遺漏，盡早檢測入侵。

目前，市場提供大量 UEBA 工具，既有獨立的 UEBA 解決方案，也有嵌入 UEBA 功能的安全解決方案。

想要恰當管理特權訪問，PAM 或安全信息與事件管理 (SIEM) 解決方案最好包含 UEBA 功能。

6. 實時通知越早阻止攻擊，攻擊造成的影響就越小。

但若想能夠及時響應潛在安全事件，你收到警報通知的時機應是近實時的。

所以，選擇特權訪問管理解決方案的時候，一定要查看其是否具有良好的警報系統。

大多數 PAM 解決方案都提供一套標準規則和警報。

比如說，每次系統記錄到特權賬戶登錄嘗試失敗，安全負責人就會收到通知。

或者更進一步，為特定事件、活動，乃至用戶組創建自定義警報。

7. 詳盡報告與審計PAM 工具通常會收集大量數據：活動日志、鍵盤記錄、事件日志、會話記錄等等。

但若無法從中產生詳盡的報告，PAM 解決方案收集再多的有用數據都是徒勞。

因此，需具備根據自身特定需求產生不同類型報告的能力。

要特別注意可收入報告中的數據和信息的類型。

比如說，如果形成的報告能夠包含特權賬戶執行的全部活動，或者納入非正常上班時間發起的所有特權會話，安全保護效果會好很多。

某些情況下，取證分析需調查安全事件，或者評估當前安全系統的狀態。

因此，所選特權訪問管理解決方案最好具備取證導出功能。

若能將 PAM 解決方案與當前 SIEM 集成，也是一個加分項。

這樣可以最大限度地利用 PAM 工具收集的數據，以更有效的方式分析潛在威脅。

結語特權訪問濫用可導致災難性后果，使攻擊者得以輕松收集到最有價值、最重要的信息。

大多數合規監管也要求特權訪問得到妥善保護與管理，盡管有時候這種要求是間接的。

所以，部署優良的 PAM 解決方案，是每一家現代企業的必備步驟。