特权账号管理误区

随着账号风险事件的频繁发生，各个组织越来越重视特权账号的安全管理，但在日常实践中，我们发现各个组织对特权账号安全管理普遍存在以下误区

一、不够重视对特权账户保护

保护特权账户并不完全包含在对数据的分类保护、对账户的登录认证这些方面——尽管很多管理者那么认为。事实上，由于企业的 IT 环境在不断变化，特权账户的归属本身也在不断变化。当发生人事调动，以及使用了不同的系统时，特权账户的使用情况会发生变化，一旦不进行妥善处理，就会留下内部人员账户权限过大以及僵尸特权账号的问题，从而留下内部以及外部的安全隐患。

二、特权账户只是针对人的

有管理者认为特权账户的管理只是针对人员的，因此，只要从规范上对人进行足够的安全保护以及教育，就能做好特权账户的保护。事实上，特权账户的保护，除了与人相关，也与软件相关：不同的软件、应用、服务在相互之间交互的时候，也需要通过账户进行，因此对于企业在日常运营、开发过程中，也会产生各类特权账号。

三、不知道自己有多少特权账户

基于以上两点，大部分的企业很多时候对特权账户的管理是十分混乱的：他们不知道自己有哪些特权账户、这些特权账户都能做些什么、这些特权账户都在哪里。如今很多攻击者往往有极高的耐心，他们会静静地潜伏在企业的系统，甚至直接潜伏在企业中数周到数月，发现以及等待对特权账户的攻击机会——企业却不知道自己到底有哪些特权账户，那有如何发现以及防护自己的企业呢？

四、我们不需要那么多的防御

很多中小企业会认为：自己的 IT 系统没那么复杂、入侵者更倾向于入侵油水丰厚的大企业。结论则是，自己不需要那么多的安全防护。但是，入侵者是无孔不入的；而且，他们尤其喜欢中小企业——虽然看上去获得的利益没有大型企业那么多，但是因为很多时候中小企业对自身缺乏足够的安全防护，使得入侵更容易达成。而我们也在开头提到了，无论是从入侵者角度，还是从安全专家角度来看，获取特权账户是在入侵流程中几乎必然发生的一个环节。