這也就是特權(quán)訪問管理（PAM）應(yīng)發(fā)揮的地方，PAM是一組策略，用于保護(hù)、控制、監(jiān)視企業(yè)系統(tǒng)上的特權(quán)活動和會話，而不影響業(yè)務(wù)生產(chǎn)力。

如何有效的設(shè)計(jì)、構(gòu)建并部署一套針對特權(quán)濫用的防御機(jī)制，可參考以下幾點(diǎn)建議：

發(fā)現(xiàn)并識別所有散落在網(wǎng)絡(luò)中的特權(quán)賬戶、密鑰、證書以及敏感文檔，將它們整合到一個中心位置，設(shè)置適當(dāng)?shù)臋?quán)限和策略，定義誰可以在什么時間段內(nèi)訪問它們中的什么內(nèi)容。以此措施，構(gòu)建起對關(guān)鍵數(shù)據(jù)訪問的控制與可見性——尤其是這些可能為惡意行為提供高風(fēng)險后門的長期未使用、被遺忘/棄用的特權(quán)賬戶。

采用多重身份驗(yàn)證，來驗(yàn)證這些執(zhí)行特權(quán)活動的人員。更進(jìn)一步，針對關(guān)鍵系統(tǒng)的訪問，設(shè)置必要的審核措施，并設(shè)置資源使用到期或完成侯，自動收回憑證并重置。通過這種強(qiáng)的訪問控制，攻擊者將難以通過非法途徑侵入，在網(wǎng)絡(luò)中肆意妄為，阻礙業(yè)務(wù)的正常運(yùn)營。

支持特權(quán)用戶通過安全途徑遠(yuǎn)程訪問關(guān)鍵系統(tǒng)，而不必修改防火墻策略或是連接VPN，也不必記住大量復(fù)雜的密碼登錄過程。利用自動遠(yuǎn)程登錄功能，使用戶可以在混合環(huán)境中單點(diǎn)登錄到所需的系統(tǒng)或應(yīng)用程序。這種做法也可防止來自未知源的威脅，同時加快操作速度，提高生產(chǎn)力，更快的實(shí)現(xiàn)價值。

將DevOps自動化文件中硬編碼憑證，整合到一個中心位置，強(qiáng)制實(shí)施基于API以及自動化腳本的方式，從中心密碼存儲庫中獲取所需的憑證，以防止暴露高風(fēng)險的密碼。實(shí)施密碼安全的最佳實(shí)踐，如密碼定期輪換、增加密碼復(fù)雜性，以大幅減少憑證被盜取或利用漏洞攻擊的風(fēng)險。

記錄每個特權(quán)用戶的會話，并將其記錄為視頻，保存在一個安全、加密的數(shù)據(jù)庫中，以供將來審查。利用影子會話，實(shí)時監(jiān)督正在進(jìn)行中的會話，即時中止并發(fā)起對可疑會話的調(diào)查。針對受信的內(nèi)部特權(quán)人員以及第三方供應(yīng)商啟用細(xì)粒度的特權(quán)會話錄制，有助于簡化治理，以及更佳的問責(zé)。

記錄并可下載所有關(guān)于特權(quán)憑證及其訪問的事件。許多法規(guī)合規(guī)性標(biāo)準(zhǔn)以及行業(yè)標(biāo)準(zhǔn)（如SOX、HIPAA、PCI DSS）都需要跟蹤、監(jiān)控對關(guān)鍵系統(tǒng)的訪問。通過集中化的合規(guī)性審計(jì)以及報(bào)表，您可以方便的向?qū)徲?jì)人員以及取證調(diào)查人員出具相關(guān)的安全控制數(shù)據(jù)。

采用AI、ML驅(qū)動的監(jiān)視功能，持續(xù)檢測異常以及可能有害的特權(quán)活動，并自動啟動緩解控制措施以防止損害加深。與SIEM以及安全掃描工具集成，以發(fā)現(xiàn)漏洞并及時執(zhí)行補(bǔ)救措施。將ITSM添加到應(yīng)用組合中，簡化特權(quán)訪問的請求，提高變更以及資產(chǎn)管理的效率。將特權(quán)訪問數(shù)據(jù)與上述功能進(jìn)行關(guān)聯(lián)和同步，從中央控制臺編排其工作流。

這樣，您可以在整個架構(gòu)中實(shí)施特權(quán)訪問安全性，增強(qiáng)態(tài)勢感知能力，緩解安全孤島。