弱密码账号的危害高:通常数据中心资产都存在大量的弱密码账号,在护网、攻防演练、甚至黑客入侵中,入侵方首要的突破口就是通过撞库、爆破等手段探测弱密码账号,根据获取的弱密码账号进行提权、横向渗透。这类账号的危害极高。
改密困难:客户无论从合规性考虑,还是安全性考虑,弱密码账号都非常有必要消除,而消除弱密码的最有效、最直接的办法就是改密,并且按照等保等政策要求,至少要每三个月修改一次且要满足复杂度,当账号少时还可以靠人工。但现阶段企业信息化程度通常都比较高,资产和业务系统多且杂,基本不具备靠人工的来操作的可能性。采用密码分段管理,加强密码的安全存储,历史密码完整留存,且可以应急恢复,全部采用国密存储,安全性更上一层楼。
管理手段落后:在未实施特权账号管理系统时,管理员通常采用文件的方式保存密码,这种人工管理的方式极易出错,同时也容易造成密码泄露。之前有客户就出现过因密码文件被利用而造成的安全事故。
账号清单不掌握:数据中心账号种类繁多、数量庞大,无法清晰查看账号分布情况、汇总信息,以及账号使用情况。使得管理员无法掌握资产账号的分布情况,以及每个账号的状态,从而也无法根据每个账号的情况去制定安全策略。下图是使用PAM后的效果,可以看出账号的分布情况一目了然。
外包风险管控:对于银行、医疗、金融、政府、电力等行业,普遍存在大量的外包人员,这些外包人员手中往往都掌握有部分资产的账号密码,并且掌握的还都是高权限账号,而外包人员用这些钥匙做什么,往往处于监管之外,也不可控。相当于保险箱的钥匙交给了外人使用,如果这些人因一念之差或者手工操作失误,带来的后果企业可能难以承受。