“100% 的信息泄露都涉及到了凭据丢失…… ”

“ ……高级持续性威胁APT首先尽各种可能找到可以利用的特权账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。”

——Mandiant, M-Trends and APT1 Report

多年来，信息安全大行其道，从网站安全到网络安全防护，几十上百种细分领域，显示着信息安全的重要性与脆弱性。在这众多信息安全的防护中，特权账号是一个重要的组成部分，同时也是我们探索IT王国的重要钥匙。

【点击了解Cyberark：http://www.binqsoft.com/solutions/cyberark】

关于特权账号发生的那些事

• 曾经有一则新闻，旧金山市政府的一名网络管理员通过更改账号密码的方式将他的上级领导和其他管理员统统挡在了计算机系统之外。在经历了十天的牢狱生活后，这名管理员终于向市长交待了重新进入系统的方法。而在这期间，他的前同事们费了九牛二虎之力也没能进入系统，致使系统长时间运行在无人监管的状态。
• “棱镜门事件”中，斯诺登在公开视频中介绍自己时曾表示：不要以为我是个电脑专家，我只是一个管理人员。
• 2013年，由于特权账号外泄原因，雅虎宣布公司10亿多用户帐号被黑客窃取。此次被盗的资料中可能包括姓名、联系方式、密码以及安全问答等内容，事件导致该股跌幅超过6%。这成为有史以来大规模的网络帐号被盗事件。
• 特权账号在众多热点事件中频繁现身，不断出现在人们的视线中。CyberArk大中华区销售总监潘耀康认为：任何管理人员，如果拿到两个特权账号，就能从全球安全机构美国国家安全局拿到想要的机密文件。

那么，什么是特权账号？

对于我们个人，一台PC的登录密码,可以算个人的特权账号。上升到企业的角度来说，则要复杂得多。

例如：我们企业内部共用的各种密码。当企业技术安全人员要做系统升级时，同样需要系统的特权账号，这些特权账号一般是共用的 ，密码也是共用的，并且账户密码的权限一般比较高。

特权账号的种类一般都有哪些呢？

企业的特权账号包括但不限于以下几种：

• 系统账号：如Windows、Linux；
• 应用软件账号：如Oracle，SAP的应用软件，企业或机构自己研发的应用软件，每个应用软件都会有特权账号；
• 日常运维账号：很多时候维护的工作是外包的，维护工作也需要特权账号；
• 网络设备、安全系统和设备的管理账号： 如路由器、交换机，防火墙、防病毒、入侵检测等等

在企业网络信息系统中，几乎每个角落都能见到特权账号的身影，但是这随处可见的账号，却在企业安全中有着至关重要的决定性作用！黑客如果拿到IT系统的钥匙——特权账号，就能从服务器到防火墙乃至数据库一路畅通无阻，从而进行敏感数据的访问，资产的高级网络攻击。

特权账号安全的管理对企业至关重要！

虽然特权管理账号的重要性不言而喻，但是当下它的管理状况却不容乐观。

当下特权账号存在的普遍问题

现状1：特权账号保护力度不强 

据全球高级性危险报告调查显示89%的受访者同意整个基础架构或安全数据能不能得到保护的核心在于特权账号有没有得到相应的保护。CyberArk通过研究受到网络攻击者袭扰的公司发现，90%的袭击涉及到特权途径。

 

现状2：特权账号的保存方式不安全 

在一份如何保存特权账号的调查显示中，36%的受访者表示账号密码会保存在一个文件或表格里；34%的受访者表示会共用一个账号密码；而19%的受访者会把账户密码写在笔记本上。

云中的特权账号调查显示，49%已经采用云的用户并没有很好的特权账号防范的解决方案。2016年终端的特权账号调查显示，62%的受访者认为在终端的使用上还是要使用到本地管理员的账号。到了2018年,数据则高达到87%。

从以上数据得知，更多的计算机人员选择使用本地管理员账号，而不是密码管理平台。这从侧面反映了计算机人员注重特权账号使用上的便捷性，但却极大的忽略了特权账号管理的安全性。

现状3：安全维护介入时间晚

除了特权账号保存方式不安全的问题，另外，在采用DevOps系统中,75%的受访者认为他们的组织没有为DevOps实施特权账户安全解决方案，发生危险时安全团队介入最晚。这种现状对企业信息安全的维护来说是非常危险的。

特权账号安全管理问题现状令人堪忧！

制定一套切实可行的特权账号安全解决方案架构势在必行！

 特权账号安全解决方案架构

特权帐户安全解决方案旨在为企业提供一个安全港，所有管理密码都可以安全地为授权用户保存、转移和共享，如IT员工、呼叫管理员和远程地点的本地管理员。

特权账号安全解决方案核心是多个安全层设计(包括防火墙、VPN、身份验证、 访问控制、加密和更多)，为企业提供安全的解决方案，可用于在企业环境中存储和共享密码。 特权帐户安全解决方案即插即用，很容易搭建，在短时间内完美运行以通过Windows客户端、Web界面或各种 Api访问。

下面的关系图显示特权帐户安全解决方案的不同组件:

CyberArk结合以上提出的方案架构，提供了一套独有的特权账号管理解决方案。

CyberArk的特权账号管理解决方案

CyberArk 作为特权账户安全领域值得信赖的提供商，财富百强公司中有一半以上的公司依靠CyberArk的解决方案来保护企业重要、有价值的资产。

 CyberArk特权账号管理解决方案是一个具有特权的管理企业账号安全的全生命周期解决方案。它能够保证组织机构对各种类型特权账号的所有活动进行安全防护、储备供应、管理、控制和监测，这些特权账号包括Windows服务器的管理员、UNIX武器上的根用户、思科设备上的使用账号，以及应用程序和脚本上嵌入的密码。

 

CyberArk解决方案优势

1. 轻松设置和部署 

PIM 确保快速部署和实施，通过提高IT生产效率提供立竿见影的投资回报ROI。

2. 与企业系统无缝集成

以业界优秀的性能、可伸缩性和健壮性，PIM可以保护和管理复杂、分布体系架构的高度异构环境中成千上万的密码。PIM可利用现有企业基础架构，并与企业核心系统相集成。

3. 自动轮换密码与SSH密钥

 强化安全的同时不加重IT团队的负担。

4. 行为分析

检测可能表明对特权账号产生危害的可疑用户和账号活动。

5. 控制对特权帐户的访问

特权帐户安全解决方案提供了简单的访问控制接口， 可容易地查明谁有权使用特权帐户，启动特权会话。

6. 启动并监视特权的会话

作为中央控制点，CyberArk特权帐户安全解决方案还提供特权单点登录功能，建立特权会话，记录会话期间发生的任何活动。PIM 利用数字密码保险库存储这些会话记录，具有防篡改功能。

7. 管理应用程序和服务凭据

PIM提供复杂而且透明的解决方案，保护和管理关键的应用程序以及应用服务器帐户，消除使用硬编码和嵌入式密码，使其对开发人员和支持人员不可见。

8 . 符合审计和监管要求

特权帐户安全解决方案提供简单的方法来符合保监会与银监会的监管与审计要求。它允许企业强制实施公司统一的安全政策，以确保遵守管理法规要求和安全实践有关的特权帐户访问和使用，包括运维人员和应用程序（无人值守）的账号。

9. 管理特权帐户程序化

通过提供即时和自动更改成千上万的网络设备和应用程序的密码，包括脚本和参数文件的密码，PIM 消除了手动管理和总开销。其高水平的自动化可确保以很小管理开销和增加的生产率提供高度可靠和不间断服务。

 CyberArk在特权账户领域拥有多年的经验积累，是业界具有密码保险库概念的特权账户方案，也是可以做到防篡改(Tamperproof)的审计日志。它具有的灾难恢复功能、高可用功能、以及分布式架构都是企业级特权账户安全管理核心要素。

 CyberArk特权账户可进行智能检测、主动保护、实时响应，从多方面保护您的企业信息网络系统安全！

关于CyberArk

CyberArk是特权账户安全市场缔造者。它提供关键的IT安全层，帮助保护企业、云及整个DevOps流程内的数据、基础架构及资产。CyberArk交付完整的解决方案，通过减小特权凭证和密码信息带来的风险来防止外部攻击者和恶意内部用户带来危害。

CyberArk的技术在全球范围内广泛使用，应用于金融服务、能源、零售和医疗公司等各个行业。在全球拥有超过3000家客户，其中包括45个财富100强企业。

关于 Binqsoft（并擎科技）

上海并擎软件科技有限公司 （简称“并擎科技”)是一家深耕于信息安全领域，提供相关解决方案及技术服务的高新技术企业。并擎科技凭借丰富的解决方案、专业的服务团队、众多的行业案例、深入的厂商合作以及全国范围内的服务支持能力等综合优势，已向国内外众多知名企业提供了优质解决方案和专业技术服务。

我们的客户包括百度、京东、德勤、中国银联、新开发银行、中国航油、中国商飞、中国东方航空、上海浦发集团、上海浦开集团、江苏电力、吉利汽车、汇众汽车、南京银行、苏州银行、交银租赁、中交三航院、通联支付、汽车之家、饿了么、美特斯邦威、德邦物流、益学堂、普洛斯等。

我们的合作伙伴包括Microsoft、Fortinet、Forcepoint、Rapid7、Barracuda、Imperva、CyberArk、Checkmarx、Radware等业界品牌。