Mitä on erityisoikeudellisen käytön hallinta (PAM, Privileged Access Management)?
Suojaa organisaatiotasi kyberuhilta valvomalla kriittisen tärkeiden resurssien luvatonta erityisoikeudellista käyttöä, havaitsemalla se ja estämällä se.
Mitä on erityisoikeudellisen käytön hallinta (PAM, Privileged Access Management)?
Privileged Access Management (PAM) on käyttäjätietojen suojausratkaisu, joka auttaa suojaamaan organisaatioita kyberuhilta valvomalla kriittisen tärkeiden resurssien luvatonta erityisoikeudellista käyttöä, havaitsemalla sen ja estämällä sen. PAM toimii ihmisten, prosessien ja teknologian yhdistelmän kautta ja antaa sinulle näkyvyyden siihen, kuka käyttää erityisoikeudellisia tilejä ja mitä he tekevät ollessaan sisäänkirjautuneina. Niiden käyttäjien määrän rajoittaminen, joilla on järjestelmänvalvojien toimintojen käyttöoikeudet, parantaa järjestelmän suojausta, kun taas suojauksen lisätasot vähentävät uhkaavien toimijoiden tekemiä tietomurtoja.
Miten erityisoikeudellisen käytön hallinta toimii?
PAM-ratkaisu tunnistaa ihmiset, prosessit ja teknologiat, jotka vaativat eritysoikeudelliset käyttöoikeudet, ja määrittää niihin sovellettavat käytännöt. PAM-ratkaisussasi on oltava ominaisuuksia, jotka tukevat määrittämiäsi käytäntöjä (esimerkiksi automatisoitu salasanojen hallinta ja monimenetelmäinen todentaminen), ja järjestelmänvalvojilla tulisi olla mahdollisuus automatisoida tilien luominen, muuttaminen ja poistaminen. PAM-ratkaisusi tulisi myös jatkuvasti valvoa istuntoja niin, että voit luoda raportteja poikkeamien tunnistamista ja tutkimista varten.
Kaksi pääasiallista erityisoikeudellisen käytön hallinnan käyttötapausta ovat tunnistetietovarkauden estäminen ja vaatimustenmukaisuuden saavuttaminen.
Tunnistetietovarkaus tapahtuu, kun uhkaava toimija varastaa kirjautumistietoja saadakseen käyttöoikeuden käyttäjän tiliin. Kun hän on kirjautunut sisään, hän voi käyttää organisaation tietoja, asentaa haittaohjelmia eri laitteisiin ja hankkia käyttöoikeuden korkeamman tason järjestelmiin. PAM-ratkaisu voi vähentää tätä riskiä varmistamalla oikea-aikaiset ja juuri riittävät käyttöoikeudet ja monimenetelmäisen todentamisen kaikille järjestelmänvalvojaidentiteeteille ja -tileille.
Organisaatiotasi koskevista vaatimustenmukaisuusstandardeista riippumatta vähimpien oikeuksien periaatetta todennäköisesti tarvitaan suojaamaan arkaluonteisia tietoja, kuten maksutietoja tai henkilökohtaisia terveystietoja. PAM-ratkaisun avulla voit myös todistaa vaatimustenmukaisuutesi luomalla raportteja eritysoikeudellisista käyttäjätoiminnoista, eli siitä, kuka käyttää mitäkin tietoja ja miksi.
Muita käyttötapauksia ovat käyttäjän elinkaaren (eli tilin luonti, valmistelu ja käyttömahdollisuuden purkaminen) automatisointi, erityisoikeudellisten tilien valvonta ja tallennus, etäkäytön suojaus ja kolmansien osapuolten käyttöoikeuksien hallinta. PAM-ratkaisuja voi käyttää myös laitteissa (esineiden Internet), pilviympäristöissä ja DevOps-projekteissa.
Erityisoikeuksien väärinkäyttö on kyberturvallisuusuhka, joka voi aiheuttaa vakavia ja laajoja vahinkoja mille tahansa organisaatiolle. PAM-ratkaisu tarjoaa tehokkaat ominaisuudet, joiden avulla voit pysyä tämän riskin edellä.
- Anna oikea-aikaiset käyttöoikeudet kriittisen tärkeisiin resursseihin
- Salli suojattu etäkäyttöoikeus salattujen yhdyskäytävien avulla salasanojen sijaan
- Tue tutkivaa valvontaa valvomalla erityisoikeudellisia istuntoja
- Analysoi epätavallinen erityisoikeudellinen toiminta, joka voisi olla haitallista organisaatiollesi
- Tallenna erityisoikeudellisten tilien tapahtumat vaatimustenmukaisuusvalvontaa varten
- Luo raportteja erityisoikeudellisten käyttäjätilien käytöstä ja toiminnoista
- Suojaa DevOps-kohteita integroidulla salasanasuojauksella
Erityisoikeudellisten tilien tyypit
Pääkäyttäjätilit ovat eritysoikeudellisia tilejä, joita käyttävillä järjestelmänvalvojilla on rajoittamattomat käyttöoikeudet tiedostoihin, hakemistoihin ja resursseihin. He voivat asentaa ohjelmistoja, muuttaa määrityksiä ja asetuksia ja poistaa käyttäjiä ja tietoja.
Erityisoikeudelliset tilit
Eritysoikeudelliset tilit tarjoavat käyttöoikeuksia, jotka ylittävät ei-erityisoikeudellisten tilien (esimerkiksi tavallisten käyttäjätilien ja vieraskäyttäjätilien) käyttöoikeudet.
Toimialueen järjestelmänvalvojien tilit
Toimialueen järjestelmänvalvojien tilit ovat järjestelmän korkein hallintataso. Näillä tileillä on käyttöoikeus koko toimialueesi kaikkiin työasemiin ja palvelimiin sekä hallintajärjestelmän määrityksiin, järjestelmänvalvojien tileihin ja ryhmien jäsenyyksiin.
Paikalliset järjestelmänvalvojien tilit
Paikallisilla järjestelmänvalvojien tileillä on valvontaoikeus tiettyihin palvelimiin tai työasemiin, ja ne luodaan usein ylläpitotehtäviä varten.
Sovellusten järjestelmänvalvojien tilit
Sovellusten järjestelmänvalvojien tileillä on täydet käyttöoikeudet tiettyihin sovelluksiin ja niihin tallennettuihin tietoihin.
Palvelutilit
Palvelutilien avulla sovellukset ovat vuorovaikutuksessa käyttöjärjestelmän kanssa tavallista turvallisemmin.
Yrityksen erityisoikeudelliset käyttäjätilit
Yrityksen erityisoikeudellisilla käyttäjätileillä on korkeatasoiset käyttöoikeudet, jotka perustuvat työvelvollisuuksiin.
Hätätilannetilit
Hätätilannetilit tarjoavat erityisoikeudettomille käyttäjille järjestelmänvalvojan käyttöoikeudet suojattuihin järjestelmiin katastrofi- tai katkotilanteissa.
PAM ja PIM
Erityisoikeudellisen käytön hallinta auttaa organisaatioita hallitsemaan käyttäjätietoja ja tekee uhkaaville toimijoille vaikeammaksi tunkeutua verkkoon ja hankkia erityisoikeudellisen tilin käyttöoikeutta. Se lisää erityisoikeudellisille ryhmille suojauksen, joka valvoo toimialueeseen liitettyjen tietokoneiden ja niissä olevien sovellusten käyttöä. PAM tarjoaa myös valvonnan, näkyvyyden ja täsmälliset toiminnot niin, että voit nähdä, ketkä erityisoikeudelliset järjestelmänvalvojasi ovat ja miten heidän tilejänsä käytetään.
Privileged Identity Management (PIM) tarjoaa aikaperusteisen ja hyväksymispohjaisen roolien aktivoinnin liiallisten, tarpeettomien tai väärin käytettyjen käyttöoikeuksien riskiä päästä organisaatiosi arkaluonteisiin resursseihin valvomalla näiden tilien oikea-aikaisia käyttöoikeuksia ja juuri riittäviä käyttöoikeuksia. PIM parantaa näiden erityisoikeudellisten tilien suojausta antamalla sinulle mahdollisuuden valvoa käytäntöasetuksia, kuten monimenetelmäistä todentamista.
PAM ja PIM ovat paljolti samanlaisia. PAM kuitenkin käyttää työkaluja ja teknologiaa resurssiesi hallintaan ja valvontaan ja toimii vähimpien oikeuksien periaatteen mukaisesti (varmistaen, että työntekijöillä on vain juuri ne käyttöoikeudet, joita he tarvitsevat työssään). PIM taas hallitsee järjestelmänvalvojia ja pääkäyttäjiä aikasidonnaisten käyttöoikeuksien avulla ja suojaa näitä eritysoikeudellisia käyttöoikeuksia.
Privileged Access Managementin parhaat käytännöt
Kun suunnittelet ja otat käyttöön PAM-ratkaisuasi, kannattaa pitää mielessä joitakin parhaita käytäntöjä, jotka auttavat parantamaan suojausta ja vähentämään riskiä organisaatiossasi.
Edellytä monimenetelmäistä todentamista
Lisää uusi suojaustaso kirjautumisprosessiin monimenetelmäisen todentamisen avulla. Tilejä tai sovelluksia käytettäessä käyttäjien on annettava käyttöoikeuden lisätarkistustiedot toisen vahvistetun laitteen kautta.
Automatisoi suojauksesi
Vähennä inhimillisen virheen riskiä ja lisää tehokkuutta automatisoimalla suojausympäristösi. Voit esimerkiksi rajoittaa käyttöoikeuksia automaattisesti ja estää suojaamattomat tai luvattomat toiminnot, kun uhka on havaittu.
Poista päätepisteiden käyttäjät
Tunnista ja poista tarpeettomat päätepisteiden käyttäjät paikallisten järjestelmänvalvojien ryhmästä IT-osaston Windows-työasemissa. Uhkaavat toimijat voivat käyttää järjestelmänvalvojan tiliä työasemasta toiseen siirtymiseen, muiden tunnistetietojen varastamiseen sekä käyttöoikeuksiensa nostamiseen ja verkossa siirtymiseen.
Määritä perusominaisuudet ja valvo poikkeamia
Valvo eritysoikeudellisia toimintoja nähdäksesi, kuka tekee mitäkin järjestelmässä ja miten erityisoikeudellisia salasanoja käytetään. Hyväksyttävien toimintojen perusominaisuuksien tietäminen helpottaa niiden poikkeamien havaitsemista, jotka voivat vaarantaa järjestelmäsi.
Mahdollista oikea-aikainen käyttö
Käytä vähimpien oikeuksien periaatetta kaikkeen ja kaikkiin ja nosta sitten käyttöoikeuksia tarpeen mukaan. Tämä auttaa sinua segmentoimaan järjestelmiä ja verkkoja käyttäjille ja prosesseille luottamuksen, tarpeiden ja käyttöoikeuksien pohjalta.
Vältä jatkuvia erityisoikeuksia
Harkitse tilapäisiä oikea-aikaisia käyttöoikeuksia ja juuri riittäviä käyttöoikeuksia jatkuvien käyttöoikeuksien käytön sijaan. Tämä auttaa varmistamaan, että käyttäjillä on oikeutettu syy kyseiseen käyttöön ja vain sen ajan kuin on tarpeen.
Käytä toimintaperusteista käyttöoikeuksien valvontaa
Myönnä käyttöoikeudet vain niihin resursseihin, joita henkilö todellisuudessa käyttää aiemman toimintansa ja käyttönsä perusteella. Pyri sulkemaan aukko myönnettyjen käyttöoikeuksien ja käytettyjen käyttöoikeuksien välillä.
Erityisoikeudellisen käytön hallinnan tärkeys
Ihmiset ovat heikoin lenkki järjestelmän suojauksessa, ja erityisoikeudelliset tilit ovat huomattava riski organisaatiollesi. PAM tarjoaa tietoturvatiimeille mahdollisuuden tunnistaa haitalliset toiminnot, jotka aiheutuvat käyttöoikeuksien väärinkäytöstä ja ryhtyä heti toimiin riskin korjaamista varten. PAM-ratkaisu voi varmistaa, että työntekijöillä on vain heidän työssään tarvitsemansa käyttöoikeustaso.
Eritysoikeuksien väärinkäyttöön yhdistettyjen haitallisten toimintojen tunnistamisen lisäksi PAM-ratkaisu auttaa organisaatiotasi seuraavissa:
- Minimoi suojausrikkomuksen mahdollisuus. Jos suojausrikkomus ilmenee, PAM-ratkaisu auttaa rajoittamaan sen vaikutusta järjestelmääsi.
- Vähennä uhkaavien toimijoiden sisäänkäyntejä ja polkuja. Ihmisten, prosessien ja sovellusten käyttöoikeuksien rajoittaminen antaa suojaa sisäisiä ja ulkoisia uhkia vastaan.
- Estä haittaohjelmahyökkäykset. Jos haittaohjelma saa jalansijaa, liiallisten käyttöoikeuksien poistaminen voi auttaa ehkäisemään sen leviämistä.
- Luo entistä valvontaystävällisempi ympäristö. Saavuta kattava suojaus ja riskinhallintastrategia toimintolokeilla, joiden avulla voit tarkkailla epäilyttäviä toimintoja ja tunnistaa ne.
PAM-suojauksen käyttöönotto
Jotta pääse alkuun erityisoikeudellisen käytön hallinnassa, sinun on suunniteltava seuraavat:
- Tarjoa täydellinen näkyvyys kaikkiin eritysoikeudellisiin tileihin ja käyttäjätietoihin. PAM-ratkaisusi tulisi tarjota näkyvyys kaikkiin eritysoikeuksiin, jotka ovat ihmisten tai kuormitusten käytössä. Kun sinulla on tämä näkyvyys, poista oletusarvoiset järjestelmänvalvojatilit ja käytä vähimpien oikeuksien periaatetta.
- Hallitse ja valvo erityisoikeudellista käyttöä. Sinun on pysyttävä ajan tasalla erityisoikeudellisen käytön suhteen ja ylläpidettävä käyttöoikeuksien nostamisen valvontaa, jotta se ei ryöstäydy käsistä ja altista organisaatiosi kyberturvallisuutta riskille.
- Tarkkaile ja valvo erityisoikeudellisia toimintoja. Ota käyttöön käytännöt, jotka määrittävät oikeutetut toiminnot erityisoikeudellisille käyttäjille ja määrittävät toiminnot, jotka rikkovat kyseisiä käytäntöjä.
- Automatisoi PAM-ratkaisut. Ratkaisu on mahdollista skaalata miljooniin eritysoikeudellisiin tileihin, käyttäjiin ja resursseihin suojauksesi ja vaatimustenmukaisuutesi parantamista varten. Automatisoi etsintä, hallinta ja valvonta hallinnollisten tehtävien ja monimutkaisuuden vähentämistä varten.
IT-osastosi mukaan voit ehkä käyttää PAM-ratkaisuasi heti ja lisätä vaiheittain moduuleja laajempien ja parempien toimintojen tukemista varten. Sinun on myös harkittava suojauksen valvontasuorituksia vaatimustenmukaisuussäädösten täyttämistä varten.
Voit myös integroida PAM-ratkaisusi suojaustietoihisi ja tapahtumienhallintaratkaisuusi (SIEM) .
Privileged Access Management -ratkaisut
Teknologia ei yksinään riitä suojaamaan organisaatiotasi kyberhyökkäyksiltä. Siihen vaaditaan ratkaisu, joka ottaa huomioon ihmiset, prosessit ja teknologian.
Tutustu siihen, miten Microsoft Security käyttäjätietojen ja käyttöoikeuksien ratkaisut auttavat suojaamaan organisaatiotasi suojaamalla käyttöoikeudet yhdistettyyn maailmaan kaikkia käyttäjiäsi, älylaitteitasi ja palvelujasi varten.
Lue lisää Microsoft Securitystä
Käyttäjätietojen ja käyttöoikeuksien hallinnan ratkaisut
Auta suojaamaan organisaatiotasi suojatuilla käyttöoikeuksilla kaikkia käyttäjiäsi, laitteitasi ja palvelujasi varten.
Privileged Identity Management
Varmista järjestelmänvalvojatiliesi turvallisuus rajoittamalla tärkeiden toimintojen käyttöä.
Ehdolliset käyttöoikeudet
Pidä työvoimasi suojattuna ottamalla käyttöön hajautetun käyttöoikeuksien valvonnan reaaliaikaisilla mukautuvilla käytännöillä.
Usein kysytyt kysymykset
-
Käyttäjätietojen ja käyttöoikeuksien hallinta (IAM) koostuu säännöistä ja käytännöistä, jotka valvovat, kuka tai mikä käyttää resursseja sekä sitä, milloin, missä ja miten niitä käytetään. Nämä sisältävät salasanojen hallinnan, monimenetelmäisen todentamisen, kertakirjautumisen (SSO) ja käyttäjien elinkaaren hallinnan.
Erityisoikeudellisen käytön hallinta (PAM) liittyy prosesseihin ja teknologioihin, joita tarvitaan erityisoikeudellisten tilien suojaamiseen. Se on IAM:n osajoukko, jonka avulla voit valvoa ja tarkkailla erityisoikeudellisten käyttäjien (joiden käyttöoikeudet ovat laajemmat kuin tavallisten käyttäjien) toimintoja, kun he ovat kirjautuneet järjestelmään.
-
Tehokas istunnon hallinta on PAM-suojaustyökalu, jonka avulla voit nähdä, mitä erityisoikeudelliset käyttäjät (organisaatiosi ihmiset, joilla on pääkäyttäjän oikeudet järjestelmään ja laitteisiin) tekevät, kun he ovat kirjautuneet sisään. Tuloksena saatavat kirjausketjut hälyttävät sinua tahattomasta tai tahallisesta erityisoikeuksien väärinkäytöstä.
-
Erityisoikeudellisen käytön hallintaa (PAM) voidaan käyttää organisaatiosi suojaustason vahvistamiseen. Sen avulla voit valvoa infrastruktuurisi ja tietojesi käyttöä, määrittää järjestelmäsi ja etsiä haavoittuvuudet.
-
PAM-ratkaisun etuja ovat suojausriskien väheneminen, toimintakustannusten ja monimutkaisuuden pienentäminen, näkyvyyden ja tilannetietoisuuden parantaminen koko organisaatiossa ja säädösten määräämän vaatimustenmukaisuuden parantaminen.
-
Kun päätät organisaatiosi PAM-ratkaisusta, varmista, että se sisältää monimenetelmäisen todentamisen, istuntojen hallinnan, oikea-aikaisten käyttöoikeuksien ominaisuudet, roolipohjaisen suojauksen, reaaliaikaiset ilmoitukset, automaation sekä valvonta- ja raportointiominaisuudet.
Seuraa Microsoft Securitya