یک مدیر شبکه در یک شرکت مالی بزرگ را تصور کنید که دارای حسابی با دسترسی ویژه به سرورها، پایگاههای داده و تنظیمات امنیتی است. اگر این حساب دچار نشت اطلاعات شود یا به دست یک هکر بیفتد، میتواند منجر به دسترسی غیرمجاز به اطلاعات مشتریان، تغییر پیکربندیهای امنیتی یا حتی از کار انداختن سرویسهای حیاتی شود. اینجاست که مدیریت دسترسی ویژه (PAM) وارد عمل میشود.
PAM چیست؟ آشنایی با Privileged Access Manager
PAM یک چارچوب امنیتی است که برای کنترل و نظارت بر دسترسی کاربران دارای مجوزهای سطح بالا طراحی شده است. این سیستم تضمین میکند که فقط افراد مجاز و تحت شرایط خاص به اطلاعات و منابع حیاتی دسترسی داشته باشند. PAM شامل بخشهایی مانند مدیریت رمزهای عبور مشترک، نظارت بر جلسات ویژه، کنترل دسترسی تأمینکنندگان (VPAM) و مدیریت دسترسی برنامهها میشود.
حسابهای کاربری با سطح دسترسی بالا، از جمله حسابهای مدیران سیستم، حسابهای مربوط به اقدامات اضطراری، حسابهای دایرکتوری فعال مایکروسافت (Active Directory) و حسابهای مدیریت دامنه، از اهداف اصلی حملات سایبری هستند. در صورت به خطر افتادن این حسابها، مهاجمان میتوانند بدون محدودیت به اطلاعات حساس دسترسی پیدا کنند یا حتی کل سیستم را مختل کنند.
PAM که گاهی با نام مدیریت هویت ویژه (PIM) نیز شناخته میشود، بر پایه اصل حداقل دسترسی (POLP) عمل میکند. این اصل به سازمانها کمک میکند تا میزان دسترسی کاربران را به حداقل سطح مورد نیاز برای انجام وظایفشان محدود کنند.
چرا PAM اهمیت دارد؟
با اجرای یک سیستم PAM، سازمانها میتوانند بهطور دقیق کنترل کنند که چه کسی به چه دادههایی دسترسی دارد و چگونه از این دسترسی استفاده میشود. این راهکار نهتنها از نشت دادهها و حملات داخلی جلوگیری میکند، بلکه یکی از مؤثرترین روشها برای محافظت از سازمان در برابر تهدیدات خارجی محسوب میشود.
حسابهای کاربری با دسترسی ویژه و تهدیدات امنیتی بزرگ برای سازمان ها
مدیریت دسترسی ویژه (PAM) برای سازمانها بسیار حیاتی است، چرا که حسابهای کاربری با دسترسی ویژه، تهدیدات امنیتی بزرگی برای کسبوکارها به شمار میروند. برای مثال، یک هکر که حساب یک کاربر معمولی را به خطر میاندازد، تنها به اطلاعات همان کاربر دسترسی پیدا میکند. اما اگر یک حساب کاربری با دسترسی ویژه مورد حمله قرار گیرد، مهاجم نهتنها به اطلاعات بیشتری دسترسی پیدا میکند بلکه ممکن است بتواند سیستمها را تخریب کند.
مقابله با تهدیدات داخلی
PAM نه تنها در برابر حملات خارجی و نقضهای امنیتی از سازمانها محافظت میکند، بلکه به مقابله با تهدیدات داخلی نیز کمک میکند. این تهدیدات میتوانند ناشی از کارکنان یا افراد دیگری باشند که دسترسی به دادههای شرکتی دارند، و ممکن است عمداً یا به صورت اشتباهی تهدیداتی برای امنیت ایجاد کنند.
انطباق با مقررات دولتی
علاوه بر این، PAM برای دستیابی به انطباق با مقررات صنعت و دولت ضروری است. با استفاده از PAM به عنوان بخشی از یک برنامه جامع مدیریت ریسک و امنیت، سازمانها میتوانند تمام فعالیتهای مربوط به زیرساختهای IT حیاتی و دادههای حساس را ثبت و ضبط کنند، که این امر به سادهسازی نیازهای ممیزی و انطباق کمک میکند.
نرمافزارها و ابزارهای PAM اطلاعات حسابهای کاربری با دسترسی ویژه، که معمولاً به حسابهای مدیر سیستم معروف هستند را در یک مخزن امن جمعآوری کرده و فعالیتهای آنها را ثبت میکنند. این جداسازی برای کاهش ریسک دزدیده شدن یا سوءاستفاده از اعتبارنامههای مدیر سیستم طراحی شده است. برخی از پلتفرمهای PAM به کاربران اجازه نمیدهند تا رمز عبور خود را انتخاب کنند، بلکه مدیر رمز عبور پلتفرم، رمز عبور را برای هر روز مشخص میکند یا رمزهای یکبار مصرف برای ورود هر مدیر صادر میکند.
نحوه عملکرد مدیریت دسترسی ویژه(PAM)
PAM از ترکیب افراد، فرایندها و فناوریها برای ایمنسازی و مدیریت دسترسی به منابع حساس در داخل سازمان استفاده میکند. در اینجا نحوه عملکرد PAM شرح داده شده است:
1- ذخیرهسازی امن اعتبارنامهها (credential storage) : PAM اعتبارنامههای حسابهای ویژه، مانند مدیران سیستم را در یک مخزن امن جمعآوری و ذخیره میکند. این جداسازی، ریسک دسترسی غیرمجاز و افشای اطلاعات را به حداقل میرساند.
2- کنترل دسترسی (Access control:( سیستمهای PAM با استفاده از کنترلهای دسترسی سختگیرانه، اطمینان حاصل میکنند که فقط افراد مجاز به حسابهای ویژه دسترسی دارند. این سیستمها همچنین از روشهای احراز هویت امن مانند احراز هویت چندعاملی (MFA) برای افزودن لایههای اضافی امنیت و کنترل دسترسی استفاده میکنند.
3- دسترسی در لحظه (Just-in-time access:( سیستمهای PAM از مدل دسترسی در لحظه استفاده میکنند، که به کاربران این امکان را میدهد تا برای انجام وظایف خاصی درخواست دسترسی سطح بالا کنند. دسترسی از طریق فرایند تأیید محدود به زمان صادر میشود، که اطمینان میدهد دسترسیها فقط زمانی که لازم باشد ارائه میشوند و پنجره آسیبپذیری به حداقل میرسد.
4- مدیریت متمرکز اعتبارنامهها (credential management): سیستمهای PAM تمامی اعتبارنامههای ویژه، مانند رمزهای عبور و کلیدها، را در یک خزانه مرکزی ذخیره میکنند. با متمرکز کردن ذخیرهسازی اعتبارنامهها، PAM ریسک ذخیرهسازی اطلاعات حساس بهطور محلی را از بین میبرد و خطر افشای آنها را کاهش میدهد.
5- اتوماتیک کردن وظایف: PAM وظایف اداری مختلف را خودکار میکند، که به کاهش تعداد وظایف دستی افراد و کاهش ریسک خطای انسانی کمک میکند. این وظایف معمولاً شامل مدیریت رمز عبور، تخصیص و حذف حسابها، نصب پچهای نرمافزاری و انجام ممیزیهای امنیتی هستند.
6- نظارت و گزارشدهی بر جلسات: سیستمهای PAM تمامی جلسات با دسترسی ویژه را نظارت و ضبط میکنند و بینشهای ارزشمندی از فعالیتهای کاربران ارائه میدهند. این امر به تیمهای امنیتی کمک میکند تا رفتار مشکوک را در زمان واقعی شناسایی و بررسی کنند.
ویژگیهای نرمافزار مدیریت دسترسی ویژه (PAM)
PAM برای شرکتهای در حال رشد یا سازمان های دارای سیستمهای IT پیچیده، بسیار حیاتی است.
نرمافزارهای PAM معمولاً ویژگیهای زیر را ارائه میدهند:
احراز هویت چندعاملی برای مدیران(Multifactor authentication( :برای افزایش امنیت دسترسی مدیران.
مدیریت دسترسی (access manager): این ابزار اطلاعات و مجوزهای کاربران ویژه را ذخیره میکند.
خزانه رمز عبور (password vault): مکانی امن برای ذخیرهسازی رمزهای عبور ویژه.
ردیابی جلسات (Session tracking): پس از اعطای دسترسی ویژه، این سیستمها فعالیتها را رصد میکنند.
مجوزهای پویا (Dynamic authorization): به عنوان مثال، دسترسی را تنها برای زمانهای خاص اعطا میکنند.
تخصیص و حذف خودکار(Automated provisioning and deprovisioning) : برای کاهش تهدیدات داخلی.
چرخش خودکار رمز عبور(password rotation): برای کاهش ریسک نقض امنیتی.
ابزارهای گزارشگیری: برای کمک به سازمانها در برآوردهسازی نیازهای انطباق و ممیزی.
انواع حسابهای PAM
انواع مختلفی از حسابهای PAM وجود دارند که هرکدام برای انجام نقشهای خاص در سازمان طراحی شدهاند. در ادامه به انواع اصلی حسابها اشاره شده است:
حسابهای مدیر(Administrator accounts): این حسابها حسابهای ابرکاربری هستند که دسترسیهای بالایی دارند و معمولاً برای ایجاد، تغییر و حذف حسابهای کاربری، نصب نرمافزار و تنظیمات سیستم به کار میروند. به همین دلیل، این حسابها اهداف اصلی حملات سایبری به حساب میآیند.
حسابهای ویژه (Privileged accounts): این حسابها دسترسیهای بالاتری دارند که فراتر از دسترسی کاربران عادی است. این حسابها معمولاً به مدیران سیستم و مهندسان شبکه اختصاص داده میشوند و به آنها اجازه انجام وظایف مدیریتی مانند پیکربندی سیستمها، نصب نرمافزار، مدیریت تنظیمات امنیتی و دسترسی به دادههای حساس را میدهند.
حسابهای خدماتی (Service accounts): این حسابها توسط برنامهها و خدمات برای تعامل با سیستمعامل یا دیگر برنامهها استفاده میشوند. حسابهای خدماتی معمولاً دسترسی بالایی به سیستمها و برنامههای حساس دارند و بنابراین مدیریت درست آنها ضروری است.
حسابهای برنامه (Application accounts): مشابه به حسابهای خدماتی، برنامههای خاص از این حسابها برای انجام وظایف استفاده میکنند. این حسابها اغلب به دسترسیهای ویژه نیاز دارند تا به درستی عمل کنند و در صورت عدم مدیریت صحیح، ممکن است به یک ریسک امنیتی تبدیل شوند.
حسابهای اضطراری (Emergency accounts): این حسابها برای مواقع اضطراری مانند بازیابی سیستم یا پاسخ به حوادث ایجاد میشوند. حسابهای اضطراری همچنین دسترسیهای ویژه دارند و باید برای جلوگیری از سوءاستفاده تحت نظارت باشند.
حسابهای مدیر محلی (Local administrator accounts): این حسابها مخصوص سرورها، ایستگاههای کاری یا دستگاههای خاص هستند و دسترسی کامل به این دستگاهها را فراهم میکنند. این حسابها معمولاً برای نصب نرمافزار، پیکربندی تنظیمات سیستم، مدیریت حسابهای کاربری و رفع مشکلات استفاده میشوند. برخلاف حسابهای مدیر دامنه که دسترسی به کل شبکه یا سازمان را مدیریت میکنند، حسابهای مدیر محلی محدود به یک دستگاه خاص هستند.
مزایای مدیریت دسترسیهای ویژه (PAM)
مدیریت دسترسیهای ویژه (PAM) بهبود قابل توجهی در وضعیت امنیتی سازمانها ایجاد میکند و مزایای زیادی دارد:
کاهش ریسک نفوذ به دادهها (data breaches): PAM با متمرکز کردن و ایمنسازی گواهینامههای ویژه، خطر سرقت و سوءاستفاده از این گواهینامهها را کاهش میدهد.
بهبود شناسایی تهدیدها (threat detection): نظارت در زمان واقعی بر جلسات ویژه به شناسایی و کاهش فعالیتهای مشکوک کمک میکند.
کاهش خطر تهدیدات داخلی (insider threats): با اجرای کنترلهای دسترسی سختگیرانه و نظارت بر فعالیتها، PAM به کاهش خطرات تهدیدات داخلی که میتوانند عمدی یا تصادفی باشند، کمک میکند.
احراز هویت قویتر (MFA): استفاده از احراز هویت چندعاملی (MFA) امنیت حسابهای ویژه را به طور چشمگیری افزایش میدهد و لایه اضافی از امنیت را فراهم میکند.
تضمین تطابق با مقررات (Compliance assurance): PAM به سازمانها کمک میکند تا با مقررات صنعتی مانند HIPAA، PCI DSS و SOX همخوانی داشته باشند و همچنین گزارشهای حسابرسی را فراهم میآورد که اثبات میکند بهترین شیوههای امنیتی رعایت شده است.
دید وسیع تر(Enhanced visibility): PAM دید دقیقتری از تمام فعالیتهای دسترسی ویژه فراهم میآورد و به سازمانها امکان میدهد رفتار کاربران را پیگیری کرده و خطرات امنیتی احتمالی را شناسایی کنند.
کاهش سطح حمله: با اعمال اصل حداقل دسترسی (POLP)، دسترسی به سیستمهای حساس محدود شده و تعداد نقاط ورودی احتمالی برای مهاجمان کاهش مییابد.
کاهش مواجهه و انتشار بدافزار: PAM دسترسی به منابع و دادههای حیاتی را محدود میکند و احتمال آلوده شدن و انتشار بدافزار را کاهش میدهد.
مقیاسپذیری: سیستمهای PAM بهگونهای طراحی شدهاند که با رشد سازمان، مقیاسپذیر باشند و تعداد کاربران و حسابهای ویژه بیشتری را مدیریت کنند و در عین حال امنیت قویتری حفظ کنند.
گزارشدهی و پاسخگویی: PAM به سازمانها این امکان را میدهد که پیگیری کنند چه کسی به چه دادههایی دسترسی داشته و چه زمانی، و گزارشهای جامعی ایجاد میکند که از پاسخگویی پشتیبانی کرده و در صورت وقوع نقض امنیتی به تحلیلهای قضائی کمک میکند.
چالشهای مدیریت دسترسیهای ویژه (PAM)
با این حال، شرکتها ممکن است با چالشهایی در هنگام پیادهسازی و نظارت بر سیستمهای PAM خود روبرو شوند، مانند:
مدیریت گواهینامههای حساب (Account credential management): بسیاری از سازمانها از فرآیندهای دستی برای بهروزرسانی و چرخش گواهینامههای ویژه استفاده میکنند که ممکن است منجر به خطاهای انسانی و هزینههای زیاد شود.
پیگیری فعالیتهای ویژه (Privileged activity tracking): برخی از سازمانها قادر به پیگیری و کنترل جلسات ویژه از یک مکان مرکزی نیستند که این موضوع میتواند آنها را در معرض تهدیدات سایبری و نقض قوانین قرار دهد.
نظارت و تحلیل تهدیدات (Threat monitoring): بسیاری از شرکتها ابزارهای جامعی برای تحلیل تهدیدات پیادهسازی نمیکنند و بنابراین قادر به شناسایی و کاهش فعالیتهای مشکوک نیستند.
دسترسی به کاربران ویژه (Privileged user access): شرکتها معمولاً در کنترل دسترسی کاربران ویژه به پلتفرمهای ابری مانند IaaS، PaaS و SaaS و همچنین رسانههای اجتماعی با چالشهایی روبرو هستند که این موضوع منجر به پیچیدگی عملیاتی و ریسکهای انطباق میشود.
امنیت در مقابل سهولت استفاده: ابزارهای PAM باید هم امنیت بالایی داشته باشند و هم برای مدیران فناوری اطلاعات به راحتی قابل استفاده باشند.
ملاحظات هزینهای: راهاندازی یک سیستم PAM جامع ممکن است شامل هزینههای زیادی باشد، از جمله مجوزهای نرمافزاری، زیرساخت و نگهداری مستمر.
تکامل چشمانداز تهدیدات: با توجه به طبیعت پویا تهدیدات سایبری، گزینههای PAM باید به طور مداوم برای مقابله با تهدیدات جدید تکامل یابند که این موضوع یک چالش مداوم است.
مقاومت کاربران: پیادهسازی موفق PAM اغلب نیاز به مقابله با تردید و مقاومت کارکنان دارد، زیرا برخی این سیاستها را موانعی برای بهرهوری میدانند.
مدیریت دسترسی ویژه برای شرکا (Vendor privileged access management)
مدیریت دسترسیهای ویژه برای فروشندگان (VPAM) یک زیرمجموعه از PAM است که بر تهدیدات خارجی ناشی از وابستگی سازمانها به شرکای خارجی برای پشتیبانی، نگهداری و رفع مشکلات برخی فناوریها و سیستمها متمرکز است. نمایندگان فروشندگان معمولاً نیاز به دسترسی ویژه بهصورت از راه دور یا دسترسی محلی به شبکههای سازمان دارند که ممکن است تهدیداتی خاص برای مدیریت فناوری اطلاعات ایجاد کند.
پلتفرمهای VPAM برای مدیریت تهدیدات خاص و با ریسکهای بالا طراحی شدهاند که دسترسی فروشندگان خارجی به سیستمها و برنامههای حساس سازمانها را کنترل میکنند. با این حال، فروشندگان خارجی تهدیدات خاصی ایجاد میکنند چرا که بهطور مشابه با کارکنان داخلی ردیابی و مدیریت نمیشوند.
تفاوت پیادهسازی PAM با VPAM
هر دو راهکار برای مدیریت دسترسی حسابهای دارای امتیاز بالا (Privileged Accounts) طراحی شدهاند، اما تفاوتهای مهمی با هم دارند:
ویژگی | PAM | VPAM |
---|---|---|
هدف اصلی | مدیریت و کنترل دسترسی کاربران داخلی سازمان به منابع حساس | مدیریت و کنترل دسترسی تأمینکنندگان خارجی (Vendorها) به سیستمهای حساس سازمان |
دامنه کاربران | مدیران IT، ادمینهای سیستم، تیمهای امنیتی، کاربران داخلی سازمان | پیمانکاران، تأمینکنندگان، پشتیبانی فنی خارجی، MSSPها |
مدیریت نشستها | مدیریت رمزهای عبور، اجرای اصل کمترین دسترسی (PLOP)، نظارت بر فعالیتهای داخلی | ایجاد نشستهای امن بدون نیاز به افشای رمز عبور، مدیریت موقت دسترسی برای تأمینکنندگان |
امنیت رمز عبور | چرخش خودکار رمزهای عبور، محدود کردن دسترسیهای دائمی | عدم اشتراک رمز عبور با تأمینکنندگان، ارائه نشستهای پروکسی برای دسترسی موقت |
نظارت و ثبت فعالیتها | ضبط و ثبت تمامی دسترسیها و تغییرات در سیستم | ثبت کامل نشستهای تأمینکنندگان، ایجاد گزارشهای دقیق از فعالیتهای آنها |
مدیریت حسابها | تعریف نقشها، احراز هویت چندعاملی (MFA)، اعمال سیاستهای امنیتی بر اساس کاربران داخلی | ایجاد دسترسیهای موقت، کنترل دسترسی راه دور بدون نیاز به VPN، اعتبارسنجی تأمینکنندگان |
کنترل زمانبندی دسترسی | مدیریت دسترسی مداوم برای کاربران داخلی بر اساس نقش | اعطای دسترسی محدود به زمان مشخص برای تأمینکنندگان |
PAM بر روی مدیریت و محافظت از دسترسیهای داخلی سازمان تمرکز دارد و حسابهای ادمینها و مدیران را کنترل میکند.
VPAM مخصوص تأمینکنندگان و پیمانکاران خارجی است که نیاز به دسترسی به زیرساختهای سازمان دارند، اما باید به صورت محدود و کنترلشده به آنها اجازه فعالیت داده شود.
اگر سازمانی با تأمینکنندگان متعددی کار میکند که نیاز به دسترسی به سیستمهای حیاتی دارند، VPAM یک لایه امنیتی اضافه ایجاد میکند تا جلوی حملات زنجیره تأمین (Supply Chain Attacks) را بگیرد.
مقابله با ریسکها در دسترسی فروشندگان(VPAM)
پلتفرمهای VPAM در سه بخش کلیدی به کاهش ریسکهای دسترسی فروشندگان خارجی کمک میکنند:
شناسایی و احراز هویت: دسترسی فروشندگان به دلیل عدم نظارت و تعداد زیاد کاربران دشوار است. استفاده از احراز هویت چندعاملی (MFA) و مدیریت هویت فروشندگان از اهمیت بالایی برخوردار است.
کنترل دسترسی: پس از مجاز شدن کاربر، باید مجوزهای لازم صادر شود. سیستم VPAM به مدیران شبکه این امکان را میدهد تا مجوزهای دسترسی را صادر کنند و سیستم کارآمدی ایجاد کنند که نیازهای خاصی را برآورده کند.
ضبط و گزارشدهی: ابزارهای VPAM فعالیت کاربران را در طول هر جلسه نظارت کرده و اسناد دقیقی از جمله اینکه چه کسی، چه چیزی، کجا، کی و چرا را ثبت میکند. این ویژگی گزارشدهی در VPAM به اطمینان از پاسخگویی فروشندگان و رعایت مقررات صنعتی کمک میکند.
تفاوتPAM و IAM
PAM اغلب با مدیریت دسترسی و هویت (IAM) اشتباه گرفته میشود. در حالی که شباهتهایی وجود دارد اما هدف متفاوتی با هم دارند. IAM را میتوان بهعنوان یک سیستم امنیتی برای تمام مناطق یک ساختمان در نظر گرفت، در حالی که PAM مانند یک گاوصندوق با امنیت بالا در همان ساختمان است که بهطور خاص برای حفاظت از با ارزشترین داراییها طراحی شده است.
تفاوتهای کلیدی بین این دو سیستم امنیتی به شرح زیر است:
تمرکز بر کاربر: PAM یک زیرمجموعه از IAM است که فقط بر حسابهای با دسترسی ویژه یا مدیریتی تمرکز دارد، در حالی که IAM شامل تمام کاربران میشود.
مکانیزمهای دسترسی و کنترل: PAM تمرکز بیشتری بر کنترل دسترسی به سیستمها و برنامههای حساس دارد، در حالی که IAM به مدیریت هویتهای دیجیتال و دسترسی به منابع سازمانی پرداخته و معمولاً ویژگیهایی مانند کنترل دسترسی مبتنی بر نقش را شامل میشود.
استراتژیهای امنیتی: PAM امنیت حسابهای ویژه را هدف قرار میدهد و نظارت دقیقتری برای کاهش ریسکهای مرتبط با دسترسیهای ویژه اعمال میکند. IAM جامعتر است و به امنیت کلی شبکه میپردازد.
ادغام: PAM و IAM معمولاً بهطور جداگانه عمل میکنند، اما اغلب برای ارائه یک بسته امنیتی کامل یکپارچه میشوند. PAM لایه امنیتی اضافی برای حسابهای ویژه فراهم میکند، در حالی که IAM دسترسی عمومیتر کاربران را مدیریت میکند.
بهترین روش برای پیاده سازی موفق PAM
مراحل استراتژیک زیر به سازمانها کمک میکند تا PAM را با موفقیت پیاده سازی کنند:
1- ارزیابی محیط IT فعلی: سازمانها باید تمامی حسابهای کاربری با دسترسیهای ویژه و مکانیزمهای کنترل دسترسی را فهرست کنند و هرگونه تغییرات را مستند سازند. همچنین، حسابهای کاربری ویژه باید در تمام سیستمها، برنامهها و شبکهها شناسایی شوند.
2- تعریف سیاستها و رویهها: سیاستها و رویههای روشنی برای مدیریت دسترسیهای ویژه باید ایجاد شوند. این شامل تعریف نقشها، مسئولیتها و سیاستهای استفاده قابل قبول است.
انتخاب پلتفرم مناسب PAM : سازمانها باید پلتفرم PAM مناسب برای نیازهای خاص خود را ارزیابی و انتخاب کنند. عواملی مانند مقیاسپذیری، سهولت یکپارچهسازی و پشتیبانی از پلتفرمهای مختلف باید هنگام انتخاب پلتفرم PAM در نظر گرفته شوند.
3- ایجاد طرح استقرار: سازمانها باید طرحی برای استقرار تهیه کنند که شامل زمانبندی، تخصیص منابع و اهداف معین باشد. این طرح باید توضیح دهد که چگونه گزینه PAM پیادهسازی و با سیستمها و فرآیندهای موجود یکپارچه خواهد شد.
4- استفاده از PLOP : کاربران باید تنها به حداقل دسترسیهایی که برای انجام وظایف شغلی خود نیاز دارند دسترسی داشته باشند.
5- برگزاری آموزش و آگاهیسازی: کاربران باید در مورد سیاستها، رویهها و ابزارهای PAM آموزش دیده و اطمینان حاصل کنند که اهمیت ایمنسازی حسابهای کاربری ویژه را درک کردهاند.
6- نظارت و ممیزی دسترسیهای ویژه: نظارت و ممیزی مستمر فعالیتهای حسابهای کاربری ویژه باید پیادهسازی شود. استفاده از ابزارهای خودکار برای تولید گزارشها و هشدارها در صورت رفتار مشکوک یا نقض سیاستها الزامی است.
7- آزمایش و اعتبارسنجی: سازمانها باید بهطور منظم پیادهسازی PAM را آزمایش کنند تا مشکلات را شناسایی و برطرف کنند. انجام تستهای نفوذ و ارزیابی آسیبپذیریها به اطمینان از کارآمدی سیستم کمک میکند.
8- ایجاد برنامه پاسخ به حادثه: برنامهای برای عیبیابی و کاهش حوادث امنیتی مرتبط با حسابهای کاربری ویژه باید ایجاد شود. این برنامه باید شامل مراحل شناسایی، مهار و اصلاح چنین حوادثی باشد.
نکات مهم جهت پیادهسازی PAMو پس از آن:
اجازه ندهید مدیران حسابها را به اشتراک بگذارند : سازمانها باید از اشتراک حسابها توسط مدیران جلوگیری کنند تا مسئولیتپذیری حفظ شده و از ریسکهای امنیتی جلوگیری شود. وقتی چند مدیر از یک حساب بهطور مشترک استفاده میکنند، ردیابی اقدامات فردی دشوار میشود و ممکن است رفتارهای مخرب یا ناخواسته کشف نشوند.
محدود کردن حسابهای ویژه به یک حساب برای هر مدیر : داشتن یک حساب منحصر به فرد برای هر مدیر این امکان را میدهد که تمام اقداماتی که با دسترسی ویژه انجام میشود، به یک فرد خاص ردیابی شود و نظارت و ممیزی فعالیتها آسانتر باشد.
ایجاد و اجرای یک سیاست رمزعبور : سازمانها باید رمزعبور تمامی دستگاههای شرکت را تغییر دهند تا از استفاده از اطلاعات پیشفرض جلوگیری کنند. رمزعبورهای حسابهای ویژه باید بهطور منظم تغییر کنند تا ریسک نفوذ از سوی کارکنان سابق کاهش یابد. این حسابها همچنین باید با احراز هویت دوعاملی ایمن شوند.
محدود کردن دامنه دسترسی برای تمام حسابهای ویژه: سازمانها باید PLOP را اجرا کرده و تفکیک وظایف میان کارکنان را رعایت کنند.
ارتقاء دسترسی کاربران با دقت : بهترین شیوهها باید برای ارتقاء دسترسی کاربران که به حقوق اضافی دسترسی نیاز دارند، استفاده شود، بهطوریکه فرآیند درخواست و تأیید مستند باشد.
بهروزرسانی کارکنان : اطلاعرسانی به کارکنان درباره تغییرات در سیاستها و رویههای دسترسی ویژه اهمیت زیادی دارد تا مطمئن شوید که آنها به درستی از حسابهای کاربری ویژه خود استفاده کرده و آنها را مدیریت میکنند.