权限提升和委派管理（PEDM）

特权提升是 IT 团队向标准用户提供的独占、有时间限制的访问，这些用户通常无权访问关键企业资源，简而言之，权限提升不是授予永久或长期权限，而是允许在特定时间范围内访问某些企业资产。

例如，需要访问不属于其权限范围的资源的员工将需要基于时间的特权提升才能执行相关任务，这确保了他们只能在指定时冒险进入授权区域，而无需采取不必要的控制措施。基于需求的访问委派可防止授予过多权限，并增强组织的 IT 安全性。

权限提升攻击

当恶意内部人员试图非法访问企业资源时，就会发生权限提升攻击，孤立帐户或具有永久提升权限的帐户允许此类用户访问企业的僻静边界并执行数据泄露等恶意操作。

权限提升攻击的类型

在企业场景中，提权攻击通过以下方式对系统访问功能进行渐进式控制：

• 授予水平权限提升以提供对相同角色级别之间功能的访问，它允许用户模拟另一个用户，而两者都具有相同级别的权限。例如，员工使用被盗的凭据登录同事的系统，可以访问前者的敏感信息，如密码、文件，甚至是他们所属的网络。
• 垂直权限提升允许非管理用户访问管理用户的功能。例如，尝试访问组织系统管理员门户的新员工要求将权限提升到他们通常无权访问的管理区域。

将特权提升和委派管理合并到企业工作流中，允许向用户授予受控权限，从而简化特权提升策略，并有助于建立高效的零信任模型。

什么是权限提升和委派管理（PEDM）

PEDM 是特权访问管理（PAM）的一部分，旨在根据非管理员用户的要求为其提供临时的精细权限。

通过利用 PEDM，IT 团队可以确保仅在需要时才能授予对特权帐户和资源的访问权限。当与 PAM 系统集成时，这种精细功能可以降低意外暴露帐户和密码的风险，从而防止攻击者和恶意内部人员通过企业的特权途径横向移动。

虽然特权帐户和会话管理（PASM）解决方案应用最小特权原则（POLP）通过其数字密码保管库提供对特权凭据的受限访问，但它们只能在全有或全无的基础上授予访问权限。在这种情况下，将为用户提供临时管理员帐户（也称为临时帐户），这些帐户为他们提供对目标系统的完全访问权限，包括他们不需要或不应访问的应用程序和服务。如果这些临时帐户进一步与更多用户共享，或者更糟糕的是，遭到入侵，任何威胁行为者都可以完全控制目标系统。

PEDM可以解决哪些问题

授予用户更高的权限和对关键帐户的永久访问权限会带来重大的安全风险，即使通过意外暴露，这种长期特权也有可能使攻击者能够访问组织最有价值的资源。此外，如果这些用户以纯文本格式共享其凭据或密码泄露，他们可能会向攻击者提供对其权限的完全控制，而传统安全措施无法检测到这些攻击者。PEDM 旨在通过使用基于时间和基于请求的方法允许用户和应用程序访问特权信息来解决这个问题。

PEDM是如何工作的

使用 PEDM 解决方案后，将根据对其要求的验证在规定的时间内访问敏感信息，并在该时间之后撤销这些权限。此模型结束了为用户提供永久永久特权，这是滥用的媒介。

如果用户需要更高的权限才能访问关键系统和应用程序，则必须向管理员发送权限提升请求。管理员将审核和验证这些请求，然后在有限的时间内向用户授予权限提升。这称为实时特权访问管理（JIT PAM），其中根据请求的优点临时授予特权。

PEDM 通常使用 PAM 解决方案实现。例如，管理员可以在规定的时间内向用户授予数据库访问权限，并可以禁用任何关键操作，例如更改密码、删除和编辑，以避免对数据库进行未经授权的修改。此外，此用户将仅获得基本视图访问权限，该访问权限将在请求的期限后撤销。随后将使用 PAM 解决方案轮换此类关键资产的凭据，以确保将来不会出现未经授权的访问尝试。

PEDM 的优势

PEDM 使 IT 团队能够根据用户请求的有效性强制实施精细权限。在授予与某些应用程序、系统、脚本和进程关联的更高权限时，组织可以通过施加内置限制和基于时间的要求来改善其特权访问安全状况。通过这种精细的控制授予权限提升，IT 团队可以采用最小权限原则，仅向非管理员用户提供执行其工作所需的权限。

• 实现更好的安全态势：PEDM、最小权限和 PAM 之间的合作关系可以显著降低外部攻击者和流氓内部人员滥用长期权限和凭据的风险。由于权限提升是在粒度级别授予的，因此临时管理员无法获得对其目标系统的完全访问权限，从而阻止威胁参与者获得对关键数据的控制权。
• 适应动态权限要求：PEDM 还使用户能够请求最适合其特权访问要求的自定义角色。自助服务提升请求根据预先确定的条件进行验证，从而自动批准实时预配。此外，PEDM 还帮助组织满足合规性要求，因为它们通常包括会话监控、审核和报告功能。
• 显著减少攻击面：使用 PEDM 的主要好处是，它通过限制特权用户帐户和会话的数量来减少组织的攻击面。这使得网络犯罪分子可利用的易受攻击的载体大大减少。

如何实施合理的PEDM策略

在 PAM 策略中包括特权提升和委派控制涉及六重方法。

• 进行详细的权限审核：识别并消除长期特权和特权用户帐户，在应用程序、服务和设备级别（而不是用户级别）部署权限提升策略，这还包括将管理员帐户与常规用户帐户分开。
• 包括最低权限度量值：为用户帐户分配默认权限，理想情况下，应将其设置为尽可能低的权限，此步骤可确保消除不必要的本地管理员权限，并且人类用户和计算机标识仅具有执行其指定任务的实时访问权限。
• 强制实施特权帐户治理：使用安全保管库（PASM 解决方案中的固有模块）保护对管理员凭据的访问。定期轮换这些密码，并在每次使用后轮换这些密码，以使任何泄露的凭据失效。此外，持续监控所有会话和活动，以主动检测和终止任何可疑行为。
• 启用实时访问预配（JIT）：允许用户临时访问关键系统，根据其要求的有效性授予特定时间的权限提升，实时监控其会话，并在会话到期时撤消其访问权限并轮换凭据，以防止将来发生任何未经授权的访问。
• 经常查看特权提升活动日志：监视和记录特权活动和会话，并查找未经事先授权执行的可疑活动，例如新添加的网络配置或失败的登录尝试。利用上下文感知日志关联来研究用户行为模式并做出数据驱动的安全决策。
• 定期检查用户帐户和权限：定期查看权限，以确保活动用户帐户仅具有指定的最低权限。撤销任何多余的权限并删除非活动帐户以消除最薄弱的环节。

PEDM 是 PAM 领域真正的游戏规则改变者，行业监管机构和领导者现在正在推动将其作为基准访问控制策略。将 PEDM 纳入 PAM 策略的最大优势之一是通过有效管理权限来主动预防内部和外部威胁参与者。通过实施其他控制措施（如最低权限），PEDM 在应用程序和进程级别而不是在用户级别工作，这使管理员可以更轻松地对特权帐户和资源进行全面和精细的控制。