การลดลงอย่างหลีกเลี่ยงไม่ได้ของ PAM แบบดั้งเดิม 

โซลูชัน PAM แบบดั้งเดิมมีอิทธิพลเหนือตลาดมาหลายปีแล้ว แต่ความจริงก็คือ คุณอาจไม่จำเป็นต้องใช้โซลูชันนี้เพื่อครอบคลุมกรณีการใช้งานการเข้าถึงสิทธิพิเศษที่พบบ่อยที่สุดในสภาพแวดล้อมของคุณ  

PAM โซลูชันมักจะซับซ้อน ใช้เวลานานในการนำไปใช้ และยากต่อการบังคับใช้ การเปลี่ยนแปลงเวิร์กโฟลว์สำหรับผู้ใช้ เช่น ผู้ดูแลระบบไอทีและนักพัฒนา มักจะทำให้เกิดความหงุดหงิด และมีวิธีสร้างสรรค์ในการหลีกเลี่ยงโซลูชันเหล่านี้ ทำให้ผู้ใช้ที่สำคัญของคุณเสี่ยงต่อการถูกประนีประนอมจนกว่าโครงการ PAM ของคุณจะถูกปรับใช้เต็มรูปแบบ  

แม้แต่ผู้จำหน่าย PAM แบบดั้งเดิมก็เริ่มตระหนักถึงความเป็นจริงนี้ และกำลังคิดที่จะเปลี่ยนจากโซลูชันที่เน้นที่ห้องนิรภัยไปใช้แนวทางที่ไดนามิกและทันสมัยมากขึ้นสำหรับการรักษาความปลอดภัย ผู้ใช้สิทธิ์ทำไม? แนวทางแบบเก่าที่ต้องเก็บข้อมูลผู้ใช้ทุกคนไว้เป็นความลับนั้นไม่จำเป็นอีกต่อไปแล้ว ถึงเวลาแล้วที่ต้องดำเนินการเชิงรุกด้านความปลอดภัยมากขึ้น และนำแนวทางและโซลูชันที่ออกแบบมาเพื่อรับมือกับภัยคุกคามในปัจจุบันมาใช้ 

ในบล็อกนี้ เราจะอธิบายว่าทำไมองค์กรต่างๆ จึงเลิกใช้ข้อเสนอ PAM แบบดั้งเดิมและเลือกใช้วิธีที่ทันสมัยกว่า ความปลอดภัยของข้อมูลประจำตัว.  

เหตุใด PAM แบบดั้งเดิมจึงไม่ได้รับความนิยมอีกต่อไป  

เป็นเวลาหลายปีที่โซลูชัน PAM ประสบความสำเร็จในการเชื่อมโยงผู้ใช้หลายรายเข้าในบัญชีทั่วไปหรือบัญชีที่ใช้ร่วมกันบัญชีเดียวในขณะที่บังคับใช้การบันทึกเซสชันผ่านพร็อกซีเซสชัน แนวทางนี้สมเหตุสมผลในยุคที่บัญชีผู้ดูแลระบบในตัวเป็นค่าเริ่มต้นสำหรับการจัดการทรัพย์สิน แต่สิ่งต่างๆ ได้เปลี่ยนไปแล้ว ด้วยสภาพแวดล้อมแบบไฮบริดในปัจจุบันและภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไป แนวทางปฏิบัติที่ดีที่สุดของ PAM แบบดั้งเดิมจึงไม่เทียบเท่ากับความต้องการด้านความปลอดภัยสมัยใหม่ 

นี่เป็นเพราะ: 

• ปัญหาความเข้ากันได้กับการจัดระดับ AD: การเข้าถึงระดับที่มีสิทธิพิเศษผ่าน PAM จากปลายทางที่มีสิทธิพิเศษน้อยกว่านั้นถือเป็นการทำลายรูปแบบการแบ่งระดับ AD ในขณะที่การเข้าถึงพร็อกซี PAM ซึ่งดึงข้อมูลประจำตัวจากห้องนิรภัยโดยไม่เข้าถึงปลายทางนั้นถือเป็นโซลูชันที่ปลอดภัยและเป็นไปตามข้อกำหนดในแต่ละระดับ อย่างไรก็ตาม วิธีนี้จะทำให้ประสิทธิภาพของโซลูชัน PAM แบบดั้งเดิมลดลง การใช้งาน PAM เฉพาะสำหรับแต่ละระดับในแบบจำลองการแบ่งระดับ ซึ่งเข้าถึงได้จากเวิร์กสเตชันการเข้าถึงที่มีสิทธิพิเศษ (PAW) สำหรับระดับนั้น ถือเป็นวิธีเดียวที่เป็นไปตามข้อกำหนด แต่มีมูลค่าเพิ่มเพียงเล็กน้อย เนื่องจากจำเป็นจริงๆ สำหรับการบันทึกเซสชันหรือการติดตามการเข้าถึงบัญชีที่ใช้ร่วมกันเท่านั้น ซึ่งทำให้ไม่น่าดึงดูดใจเมื่อพิจารณาถึงโครงสร้างพื้นฐานและค่าใช้จ่ายด้านการจัดการเพิ่มเติม 

• ความไร้ประสิทธิภาพของการบันทึกเซสชั่น:แม้ว่าการบันทึกเซสชันอาจดูเหมือนเป็นวิธีแก้ปัญหาที่มีประสิทธิภาพสำหรับการตรวจสอบ แต่สำหรับผู้ดูแลระบบ PAM ที่ใช้ความสามารถนี้ การบันทึกเซสชันจะกลายเป็นเรื่องเกินจำเป็น เมื่อกำหนดค่าการบันทึกให้ถูกต้องสำหรับทรัพยากรที่จัดการ การบันทึกเซสชันก็จะไม่จำเป็นอีกต่อไป นอกจากนี้ องค์กรส่วนใหญ่ไม่มีเวลาและทรัพยากรเฉพาะในการตรวจสอบการบันทึกเหล่านี้ ทำให้คุณค่าของการบันทึกลดลงเหลือเพียงการวิเคราะห์หลังการละเมิดเป็นครั้งคราวระหว่างการสอบสวนเหตุการณ์ 

• ความคุ้มครองที่ จำกัด:โซลูชัน PAM มุ่งเน้นการรักษาความปลอดภัย ที่รู้จักกัน ผู้ใช้ที่มีสิทธิพิเศษแต่ไม่สามารถจัดการบัญชีที่ไม่ได้รับการตรวจสอบ ทำให้องค์กรเสี่ยงต่อจุดบอด ความสามารถในการค้นพบมักอาศัยหลักเกณฑ์การตั้งชื่อและการเป็นสมาชิกกลุ่ม แต่ไม่สามารถตรวจจับบัญชีที่ได้รับการออกแบบโดยเจตนาให้ซ่อนอยู่และใช้โดยผู้ดูแลระบบไอทีเพื่อหลบเลี่ยงการควบคุม PAM ได้ นอกจากนี้ ผู้ใช้เดสก์ท็อป (ระดับ 2) ที่มักจะเข้าสู่ระบบโดยตรงด้วยรหัสผ่าน มีความเสี่ยงสูงสุดที่จะถูกบุกรุก และไม่สามารถป้องกันได้อย่างเหมาะสมด้วยวิธีการรักษาความปลอดภัยด้วยรหัสผ่าน  

• การเข้าถึง NHI ที่ไม่ได้รับการจัดการ:บัญชีเครื่องที่มีสิทธิพิเศษจำนวนมากทำงานโดยไม่มีการโต้ตอบโดยตรงผ่านพร็อกซีเซสชัน ทำให้ PAM ไม่สามารถบังคับใช้การควบคุมการมองเห็นและความปลอดภัยแบบเรียลไทม์กับบัญชีเหล่านี้ได้ จึงต้องอาศัยการหมุนเวียนรหัสผ่านผ่าน API และการวิเคราะห์บันทึกกิจกรรมที่จำกัด การขาดการค้นพบที่เหมาะสมนี้ทำให้องค์กรไม่สามารถเข้าใจได้อย่างสมบูรณ์ว่า NHI ถูกใช้ที่ใด ขณะที่การหมุนเวียนข้อมูลประจำตัวมีความเสี่ยงที่จะรบกวนระบบ ส่งผลให้องค์กรจำนวนมากหลีกเลี่ยงการจัดการ NHI ผ่าน PAM ซึ่งทำให้บัญชีเหล่านี้กลายเป็นจุดบอดด้านความปลอดภัย 

• การดูแลบัญชีผู้ดูแลระบบส่วนบุคคล: ผู้ตรวจสอบและมาตรฐานการกำกับดูแลแนะนำให้ใช้บัญชีผู้ดูแลระบบส่วนบุคคลเพื่อให้รับผิดชอบได้ชัดเจนโดยเชื่อมโยงการดำเนินการที่บันทึกไว้กับผู้ใช้แต่ละราย ในขณะที่โซลูชัน PAM สามารถติดตามการใช้บัญชีผู้ดูแลระบบที่ใช้ร่วมกันและเชื่อมโยงกับผู้ใช้เฉพาะได้ บัญชีส่วนบุคคลให้ความปลอดภัยที่มากกว่าเนื่องจากการเข้าถึงยังคงจำกัดเฉพาะบุคคลจำนวนน้อย นอกจากนี้ บัญชีที่ใช้ร่วมกันอาจก่อให้เกิดปัญหาเมื่อพนักงานลาออก ซึ่งมักนำไปสู่ช่องโหว่การเข้าถึงที่ถูกเพิกถอน PAM ประสบปัญหาในการจัดการบัญชีส่วนบุคคลภายใต้รูปแบบห้องนิรภัย  

แนวทางปฏิบัติ PAM แบบดั้งเดิมนั้นล้าสมัยและไม่สอดคล้องกับความซับซ้อนของสภาพแวดล้อมด้านความปลอดภัยในปัจจุบัน เมื่อเผชิญกับความท้าทายและจุดบอดด้านความปลอดภัยที่แตกต่างกันดังที่กล่าวข้างต้น องค์กรต่างๆ กำลังดำเนินการเปลี่ยนแปลงอย่างแข็งขันจากแนวทาง PAM แบบดั้งเดิมโดยหันไปใช้แนวทางที่มีประสิทธิภาพมากกว่าซึ่งออกแบบมาเพื่อตอบสนองความต้องการด้านความปลอดภัยในปัจจุบันได้อย่างมีประสิทธิภาพมากขึ้น 

แนวทางที่ทันสมัยในการรักษาความปลอดภัยของผู้ใช้ที่มีสิทธิพิเศษ 

PAM แบบดั้งเดิมได้รับการออกแบบด้วยแนวทางที่ตรงไปตรงมา นั่นคือ รักษาความปลอดภัยข้อมูลประจำตัวที่มีสิทธิพิเศษในห้องนิรภัย บันทึกการใช้งาน และอาศัยสมมติฐานที่ว่าผู้โจมตีจะถูกขัดขวาง กลยุทธ์นี้ได้ผลในยุคที่มีสภาพแวดล้อมแบบคงที่และโครงสร้างพื้นฐานภายในสถานที่แบบรวมศูนย์ เมื่อผู้ใช้ที่มีสิทธิพิเศษถูกจำกัดให้อยู่ในกลุ่มผู้ดูแลระบบไอทีเพียงไม่กี่กลุ่ม แต่ภูมิทัศน์ของข้อมูลประจำตัวในปัจจุบันเป็นแบบไดนามิก กระจาย และเป็นแบบเนทีฟบนคลาวด์ สิทธิพิเศษมีอยู่ทุกที่ ไม่ว่าจะเป็นข้อมูลประจำตัว เครื่องจักร และบริการนับพันรายการ และไม่เหมาะสมในห้องนิรภัยอีกต่อไป 

ในทางกลับกัน เราต้องใช้แนวทางสมัยใหม่สำหรับ PAM ที่ก้าวข้ามจากห้องนิรภัยและเน้นที่ตัวตน การเข้าถึง และบริบทแบบเรียลไทม์มากขึ้น ควรออกแบบแนวทางดังกล่าวเพื่อให้มองเห็นได้อย่างต่อเนื่องว่าใคร (หรือสิ่งใด) มีสิทธิ์เข้าถึงแบบมีเอกสิทธิ์ในช่วงเวลาใดเวลาหนึ่ง ตรวจจับได้ว่าสิทธิ์นั้นถูกใช้เมื่อใด และบังคับใช้การควบคุมความปลอดภัยแบบไดนามิก โดยไม่คำนึงว่าการเข้าถึงเกิดขึ้นที่ใด ใช้ข้อมูลรับรองใด (หากมี) หรืออยู่ในแพลตฟอร์มใด 

การมองเห็น: การทำแผนที่พื้นผิวการโจมตีที่แท้จริง 

การมองเห็นอยู่ที่หัวใจของ การรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษการจัดการสิทธิ์การเข้าถึงที่มีประสิทธิผลนั้นต้องมีการอัพเดตข้อมูลประจำตัวทั้งหมดอย่างต่อเนื่องและครอบคลุม ไม่ว่าจะเป็นมนุษย์หรือไม่ใช่มนุษย์ ที่มีหรืออาจเพิ่มระดับเป็นสิทธิ์ที่สูงขึ้น ซึ่งรวมถึงไม่เพียงแต่บัญชีผู้ดูแลระบบแบบดั้งเดิมเท่านั้น แต่ยังรวมถึงสิทธิ์การเข้าถึงที่มอบหมายผ่านการเป็นสมาชิกกลุ่ม บทบาท IAM ที่สืบทอดมา สิทธิ์การใช้งานแบบเนทีฟบนคลาวด์ และ บัญชีบริการ ฝังอยู่ในท่อหรือสคริปต์อัตโนมัติ 

ความเป็นจริงของภูมิทัศน์ภัยคุกคามในปัจจุบันนั้นชัดเจนมาก ผู้โจมตีไม่จำเป็นต้องเจาะเข้าไปในห้องนิรภัยอีกต่อไป หากพวกเขาสามารถใช้ประโยชน์จากข้อมูลประจำตัวเวิร์กโหลดบนคลาวด์ด้วยสิทธิ์ API ระดับผู้ดูแลระบบได้ เป็นผลให้การแมปและการจัดการสิทธิ์ทั้งหมดทำได้สำเร็จ พื้นผิวการโจมตี เป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยเชิงรุกและการลดความเสี่ยง 

การบังคับใช้แบบเรียลไทม์ในทุกเส้นทางการเข้าถึง 

ซึ่งแตกต่างจาก PAM แบบดั้งเดิมที่ตอบสนองเฉพาะภายหลัง แนวทางใหม่ในการเข้าถึงสิทธิพิเศษนี้ควรสร้างขึ้นด้วยการควบคุมความปลอดภัยแบบเรียลไทม์ โดยบูรณาการโดยตรงกับโปรโตคอลการตรวจสอบสิทธิ์ เช่น KerberosNTLM, LDAP, SAML และอื่นๆ ควรตรวจจับการเพิ่มสิทธิ์ได้ทันทีและบังคับใช้การควบคุมเชิงรุกก่อนจะเริ่มต้นเซสชันใดๆ 

แนวทางเชิงรุกนี้สามารถกระตุ้นได้ MFA ได้ทุกที่บล็อกคำขอเข้าถึงที่มีความเสี่ยงตามสัญญาณบริบท หรือบังคับใช้ขอบเขตเซสชันแบบไดนามิกเพื่อจำกัดการใช้งานในทางที่ผิด แทนที่จะพึ่งพาบันทึกเซสชันสำหรับการตรวจสอบหลังเกิดเหตุการณ์ วิธีนี้จะช่วยหยุดยั้งภัยคุกคามในจุดเข้าถึง ทำให้มั่นใจได้ว่าการใช้งานในทางที่ผิดจะได้รับการป้องกันแทนที่จะบันทึกไว้เฉยๆ 

การบังคับใช้แบบจำลองสิทธิพิเศษน้อยที่สุด 

การบังคับใช้กฎหมายอย่างต่อเนื่อง สิทธิพิเศษน้อยที่สุด เป็นองค์ประกอบที่สำคัญของแนวทางใหม่นี้ แทนที่จะพึ่งพาการกำหนดบทบาทแบบคงที่โดยหวังว่าจะไม่มีการประนีประนอม โซลูชัน PAM ที่ทันสมัยควรวิเคราะห์พฤติกรรม แนวโน้มการใช้งาน และสิทธิ์อย่างต่อเนื่องเพื่อระบุและกำจัดสิทธิ์ที่มากเกินไป 

การใช้การควบคุมการเข้าถึงตามบทบาทและแอตทริบิวต์ทำให้สามารถปรับแต่งและลดสิทธิ์ได้อย่างแม่นยำ แม้แต่สำหรับบัญชีบริการและบัญชีเครื่องอื่น ๆ เมื่อเกิดความผิดปกติ ระบบจะตรวจพบและแก้ไขอย่างรวดเร็วแบบเรียลไทม์ พร้อมทั้งบังคับใช้การควบคุมความปลอดภัยและนำมาตรการบรรเทาความเสี่ยงมาใช้ทันที 

การเข้าถึงแบบทันเวลา: สิทธิ์ในการยืนหยัด 

เพื่อลดความเสี่ยงอย่างแท้จริง แนวทางนี้ควรบังคับใช้การเข้าถึงแบบ Just-in-Time (JIT) แทนที่จะให้สิทธิ์การเข้าถึงตามระยะเวลาที่กำหนด ผู้ใช้จะยกระดับการเข้าถึงเฉพาะเมื่อจำเป็นเท่านั้น โดยผ่านการอนุมัติที่มีกำหนดเวลาหรือเวิร์กโฟลว์อัตโนมัติ 

เมื่อทำงานเสร็จแล้ว สิทธิ์จะถูกเพิกถอนโดยอัตโนมัติ ซึ่งจะช่วยลดโอกาสของผู้โจมตีและจำกัดรัศมีการโจมตีหากบัญชีถูกบุกรุก การเข้าถึง JIT ช่วยให้มั่นใจได้ว่าจะได้รับสิทธิ์ชั่วคราวและสามารถตรวจสอบได้ ซึ่งช่วยลด การเคลื่อนไหวด้านข้าง การโจมตี 

ไปไกลกว่าห้องนิรภัย 

แนวทางใหม่และทันสมัยนี้ในการรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษไม่ได้เกี่ยวกับสถานที่จัดเก็บข้อมูลประจำตัว แต่เป็นเกี่ยวกับวิธีการค้นพบ ตรวจสอบ และควบคุมสิทธิพิเศษทั่วทั้งระบบนิเวศของคุณ แนวทางนี้เป็นการเปลี่ยนแปลงครั้งสำคัญจากแนวทางที่ล้าสมัยในการเก็บรักษาผู้ใช้ทั้งหมด ซึ่งทำให้ต้องมีการปรับใช้การควบคุมความปลอดภัยที่ซับซ้อนและยาวนาน และไม่สามารถแก้ไขปัญหาความปลอดภัยสมัยใหม่ได้ 

แทนที่จะเป็นเช่นนั้น จุดเน้นจะอยู่ที่การจัดการสิทธิ์การเข้าถึงแบบไดนามิกและแบบเรียลไทม์ ซึ่งจะช่วยให้สามารถควบคุมการเข้าถึงได้ตามความต้องการโดยไม่จำเป็นต้องให้ผู้ใช้วอลต์ที่มีความซับซ้อนเข้ามาใช้ นับเป็นก้าวสำคัญในทิศทางที่ถูกต้องจากแนวทางการป้องกันไปสู่การบังคับใช้ความปลอดภัยแบบเรียลไทม์ที่เชิงรุกมากขึ้น ซึ่งสร้างขึ้นเพื่อนำทางความซับซ้อนของโครงสร้างพื้นฐานด้านข้อมูลประจำตัวในปัจจุบันและต่อต้านการโจมตี แม้แต่โซลูชัน PAM แบบดั้งเดิมก็ยังพัฒนาเพื่อนำแนวทางปฏิบัติขั้นสูงเหล่านี้มาใช้ ซึ่งสอดคล้องกับความต้องการขององค์กรในภูมิทัศน์ด้านความปลอดภัยที่เปลี่ยนแปลงอย่างรวดเร็ว 

เพื่อเรียนรู้วิธีการ SilverfortPrivileged Access Security (PAS) ของ 's สามารถช่วยคุณเปลี่ยนวิธีการรักษาความปลอดภัยการเข้าถึงที่มีสิทธิพิเศษ ดาวน์โหลดของเรา การรักษาความปลอดภัยการเข้าถึง eBook แบบมีสิทธิพิเศษ or ติดต่อผู้เชี่ยวชาญของเราได้วันนี้