您可以保护自己的社保号码和其他敏感文档,定期查看您的
零持续权限 (ZSP) 是一种权限访问管理 (PAM) 策略,其中组织通过删除所有永久用户访问权限来限制对敏感数据的访问。 它要求用户请求对完成任务所需的资源的特定访问权限。 但是,ZSP 不会授予用户持续的访问权限,而是授予临时访问权限,直到任务完成。
零常设权限消除了用户的隐性信任,要求他们持续验证自己的身份以及访问特定资源的需求。 它有助于实施零信任安全方法,所有人类和非人类用户都必须明确且持续地验证其身份,并仅在需要时获得最小程度的权限。
继续阅读,详细了解零常设权限、零常设权限的风险、零常设权限的优势,以及如何借助 PAM 解决方案实施零常设权限。
什么是零常设权限?
零常设权限是指分配给“始终在线”用户的特权。 组织定义角色和职责,以便授予用户永久访问完成本职工作所需的特定资源的权限。 这允许用户随时随地访问自己所需的资源。 常设权限对用户来说十分方便,他们可以立即访问所需的资源。 然而,持续访问这些资源的用户会带来安全风险,可能危及组织。
常设权限的风险
常设权限会产生过度访问和潜在数据泄漏风险。 如果网络犯罪分子获得了对组织网络的未经授权的访问,他们就可以利用常设权限访问敏感数据和系统。 以下是常设权限引起的一些常见风险。
特权蠕变
特权蠕变是指网络访问级别的逐渐上升,超出个人完成本职工作所需的程度。 这通常是由于权限访问管理不善,组织忘记删除不必要的权限,或影子 IT 绕过网络限制完成任务。 网络犯罪分子试图入侵具有特权入编的帐户,并滥用积累的常设权限。
特权升级
特权升级是指网络犯罪分子利用被盗特权帐户来提高其在组织网络内的特权级别的网络攻击。 常设权限通常允许网络犯罪分子垂直或横向升级其权限。 网络犯罪分子要么扩大对具有类似特权的帐户的访问范围,要么通过获得对管理员账户的更高层次的访问权限来提升其特权。
横向移动
横向移动式威胁行为者用来在获得初始访问权限后深入网络的一种技术。 在违背发现的情况下访问组织的网络后,网络犯罪分子会通过以下方式横向移动:使用恶意软件感染其他设备、窃取设有常设权限的帐户的登录凭证,并绕过授权。 横向移动也可能由试图入侵组织的敏感数据和宝贵资产的恶意内部威胁完成的。
零常设权限的优势
以下是零常设权限的优势。
降低网络安全风险
通过删除常设权限,组织限制对其敏感数据和系统网络的访问。 零常设权限可以通过特权蠕变、特权升级和横向移动来帮助阻止外部威胁行为者或恶意内部威胁滥用特权。 如果组织实施临时访问,则无需担心网络犯罪分子会入侵设有常设权限的帐户。
有助于获得网络保险资格
网络保险是一种为保护企业免遭网络攻击造成的损失而专门设计的保单。 它涵盖数据恢复和还原的费用,向受影响各方通知数据泄漏的损失以及网络攻击造成的业务中断。 零常设权限有助于组织保护其网络免遭未经授权的访问,并通过解决网络安全问题来获得网络保险资格。
有助于遵守监管规定
组织需要遵守监管和行业规定,以及要求其保护敏感数据的监管和行业规范及框架。 零常设权限有助于保护对组织敏感数据的访问,并帮助它们遵守监管规定,如 GDPR、SOX、HIPAA 和 PCI DSS。
如何借助 PAM 解决方案实施零常设权限
实施零常设权限的最佳方式之一是使用 PAM 解决方案。 PAM 解决方案是一种允许组织管理并保护可访问高度敏感系统和数据的帐户的工具。 它能够全面洞悉并控制组织的整个数据基础架构。 借助 PAM 解决方案,组织可以查看谁正在访问其网络,每个用户具体在访问什么内容,以及如何使用这些资源。
PAM 解决方案可以帮助组织通过即时访问来删除尽可能多的常设权限。 即时访问是指人类和非人类用户在执行任务的特定时间内实时获得提升的权限。 用户将请求完成任务所需的临时权限。 随之,PAM 解决方案会向用户授予临时升级权限,或创建一个新的临时权限帐户,完成任务后即被删除。 即时访问有助于实施零常设权限,从而确保无人拥有常设权限。
使用 Keeper® 实施零常设权限
为了实施零常设权限,组织需要投资一个 PAM 解决方案,支持其使用即时访问功能。KeeperPAM™ 是一个零信任和零知识权限访问管理平台,允许组织保护密码、凭证、密钥和权限。 它结合了 Keeper Enterprise Password Manager (EPM)、Keeper Secrets Manager® (KSM) 和 Keeper Connection Manager® (KCM),在一个平台上实现完全可见、安全和控制。 KeeperPAM 还支持即时访问,帮助组织实施零常设权限。