技术文章

作为系统管理员，您的主要职责之一是控制对网络的访问。您可能很清楚您的 IT 同事正在访问哪些设备以及他们在连接时正在做什么。那个“需要”额外访问 ERP 系统的财务用户怎么办？或者工程师要求您设置对工厂系统的远程访问，以便他们的供应商之一可以连接以诊断问题？事情很快就会变得复杂起来，而且还没有考虑合规性要求，例如审计和新的 CISO 强制执行的“零信任”政策。

不幸的是，给您和您的网络带来风险的不仅仅是外部攻击者。根据Ponemon Institute的研究，所谓的“内部威胁”事件在过去两年中增加了 44%，估计凭证盗窃的成本从 2020 年的 279 万美元增加到去年的 460 万美元。遏制内部威胁的时间也有所增加，不出所料，数据显示，消除海滩所需的时间越长，企业在现金和声誉方面的成本就越高。

当然，这不是一个新问题。自电传打字机时代以来，管理员一直在努力保护他们的系统。TACACS和RADIUS等协议分别出现在 1980 年代和 1990 年代；几十年来，他们一直在监督对系统的安全访问。但它们已不足以管理构成现代“万物互联”世界的令人眼花缭乱的平台、设备和要求。

那么，答案是什么？身份和访问管理（IAM 或 IdAM）是IT 安全学科的一个引人入胜的（如果您有这种倾向的话）分支。它试图准确定义术语“身份”的含义，而不仅仅是用户名和密码！它过于复杂，无法在此处详细描述，但本文提供了一个很好的概述。

与任何复杂系统一样，正确的工具集对使主题易于理解和控制大有帮助。IAM 的局限性在于只能证明试图连接到设备或系统的人的身份。要控制他们需要的访问级别，并监控他们使用该访问权限所做的事情，需要的不仅仅是 IAM 所能提供的。

使用 Osirium 进行特权访问管理

Osirium的 PAM是一个特权访问管理平台，使组织可以轻松地管理、控制和审计谁在访问哪些资产，以及他们在连接时正在做什么。

PAM 背后的关键概念是假设端点已经受到威胁并且用户容易被钓鱼。为了缓解这种情况，系统确保凭据永远不会通过端点并且永远不会透露给用户（除非在精心定义的紧急情况下）。这种人员和密码的分离保证了用户永远不会将他们的密码复制到他们的剪贴板，也不会拦截他们的工作站和目标之间传递的流量。将 PAM 服务器想象成一个“凭据注入代理”。

还有其他处理系统安全访问的方法，例如身份和访问管理 (IAM) 工具，但这些方法仅依赖于用户证明其身份的能力。相反，特权访问管理系统通过分配帐户“角色”来控制用户访问和权限。Osirium PAM通过“配置文件”实施特权帐户管理策略，将身份映射到目标系统上的角色。连接到端点的用户只能获得由其配置文件定义的访问级别。

Osirium PAM 包括 200 多个预定义设备“模板”，允许管理员快速定义在其环境中使用的系统。这包括本地硬件和软件端点，以及云基础设施。还可以轻松定义其他自定义模板。

一旦定义了帐户、设备和角色，用户就可以通过登录 Osirium 网络界面连接到他们被授予访问权限的系统，在那里他们会看到一个他们可以使用的系统列表。

选择其中一种已定义的访问方法将在用户的浏览器中启动它，并且凭据会在不被泄露的情况下被注入。可以实施额外的身份验证步骤，例如要求用户创建“Change Ticket”并指定连接原因。这些也可以配置为主管必须在连接被授予之前对其进行授权。

某些系统可能需要特殊工具或管理实用程序，例如 SQL Management Studio。这些可以安装在随后定义为管理应用程序代理 (MAP) 服务器的系统上。从访问列表中选择这些将打开与 MAP 服务器的 RDP 会话并运行定义的工具。

正如您对控制系统访问的工具所期望的那样，Osirium PAM 包含许多审计和验证功能。这包括自动记录活动会话的视频屏幕截图或屏幕截图，以及全面的日志记录工具，使其成为监控法规遵从性的理想工具。

如简介中所述，并非所有攻击都来自网络外部，系统管理员和安全团队还需要注意内部威胁。Osirium PAM 的行为分析模块跟踪受监控网络中的所有访问活动，并可以识别可疑的用户活动、未经授权的凭据使用以及“特权蔓延”。所有用户都根据他们的活动模式分配风险评分，使系统能够轻松识别异常或可疑行为并发出警报。

该系统还包括一个管理仪表板，提供设备、用户和其他摘要信息的概览：

PRTG 监视观察者

Osirium PAM 服务器还具有 REST API，这当然意味着我们可以通过 Paessler PRTG 监控软件访问此管理信息。

Osirium API 的主要目的是生成有关系统活动的报告，因此它使用 JSON 对象数组响应大多数 API 查询。PRTG 的原生 REST 传感器无法直接解析这些对象，因此我们需要使用EXE / Script Advanced Sensor来处理 API 返回。这个简单的 PowerShell 脚本将对 API 返回的 JSON 对象进行计数，并使用返回值填充传感器通道。只需将脚本复制到自定义传感器文件夹（默认 - C:\Program Files (x86)\PRTG Network Monitor\Custom Sensors\EXEXML）。