什么是特权帐户？

• IAM 词汇表
• 什么是特权帐户？

特权帐户是指组织中具有提升特权的用户帐户，这意味着其对组织的系统、数据库、应用和网络基础设施拥有大多数其他用户所没有的许可和访问权限。需要注意的是，并非所有特权帐户都是由人类使用。例如，服务帐户是由应用使用的特权帐户。

由于这些帐户具有提升的特权，特权用户通常能够执行管理和敏感任务，例如取消用户预配。如果错误的人获得了特权帐户的访问权限，或者帐户被滥用，则可能会对组织的安全产生负面影响。

继续阅读，了解更多有关特权帐户的信息以及保护它们的重要性。

特权帐户与非特权帐户对比

与特权帐户不同，非特权帐户没有提升的特权，这意味着它们无法访问特权系统和数据。由于具有这些提升特权和访问权限，特权帐户可以比非特权帐户执行更多操作。例如，非特权帐户无法访问员工和客户的个人身份信息 (PII) 等信息。PII 包括家庭住址、社会保障号码、信用卡详细信息等机密信息。

一些被视为非特权帐户的帐户包括标准用户帐户和访客帐户，因为它们对系统和数据的访问权限受到了限制。

哪些帐户被视为特权帐户？

一些在组织内被视为特权帐户的帐户包括：

• IT 管理员帐户
• 操作系统
• 薪资系统
• 服务帐户
• 代码存储库
• 数据库管理员帐户
• 系统帐户
• 应用帐户

为什么特权帐户很重要

特权帐户是最常被威胁行为者攻击的帐户，这就是为什么组织采取必要措施保护它们免受网络攻击很重要的原因。根据 Verizon 的 2022 年数据泄露调查报告，74% 的泄露事件涉及特权帐户访问。

如果威胁行为者成功地对一个未得到保护的组织特权帐户进行了攻击，将会导致发生以下情况：

• 财务损失：当组织遭受网络攻击时，攻击将造成重大的后果。根据 Keeper Security 的 2022 年美国网络安全调查报告，组织因网络攻击而损失的平均金额超过 75,000 美元，37％ 的组织损失了 100,000 美元或更多。
• 敏感数据丢失：所有特权帐户都包含敏感信息，可用于进行针对性的攻击，例如勒索软件或网络钓鱼。不采取预防措施来保护特权帐户意味着这些帐户中的数据更容易被盗。如果组织未遵循网络安全最佳做法（例如创建备份），敏感数据的丢失可能会造成更大的破坏，因为他们将丢失数据并且无法再次访问这些数据。
• 声誉受损：当客户的数据被盗时，组织的声誉将受到损害，因为当前和潜在客户可能不再信任他们。根据 Keeper 的报告，超过四分之一的受访者因发生成功的网络攻击而遭受了声誉损失。

网络攻击的后果对中小企业 (SMB) 来说尤其具有破坏性，并且往往会导致它们倒闭。Keeper 的报告显示，只有一半的中小企业在遭受网络攻击后至少存活了五年。

组织实施网络安全解决方案非常重要，尤其是在保护特权信息和帐户方面，因为它们最常成为攻击目标，并且包含组织最有价值的资产。

如何管理和保护对特权帐户的访问

组织管理和保护特权帐户访问权限的最佳方法是使用特权访问管理 (PAM) 解决方案。特权访问管理是指组织如何管理和保护有权限访问高度敏感系统和数据的帐户。如果没有 PAM 解决方案，组织就无法了解谁有权访问特权帐户，这意味着一些用户可能会拥有他们在工作中并不需要的帐户的访问权限。这构成了重大的安全风险，可能会导致数据泄露。

PAM 解决方案可协助 IT 管理员强制执行最低特权原则 (PoLP)，这是一个网络安全概念，用户只能访问工作所需的信息和系统，而无多余权限。借助 PAM 解决方案，组织能够通过使用基于角色的访问控制 (RBAC) 来强制执行 PoLP，从而缩小组织的攻击面，最大限度地减少内部威胁，并提高合规性。从长远来看，PAM 解决方案可为组织节省数百万美元，因为它们可以最大限度地减少成功的网络攻击的影响，并降低总体风险。

PAM 解决方案还可帮助组织通过使用企业密码管理 (EPM) 保护特权帐户。EPM 可协助 IT 管理员在特权帐户上强制使用高强度密码和多步验证 (MFA)。即使发生泄露事件，高强度密码和 MFA 也可阻止威胁行为者成功访问特权帐户。