85% doanh nghiệp đang gặp khó khăn trong việc vượt qua giai đoạn đầu tiên để đạt được cấp độ trưởng thành (Maturity) trong PAM, theo Báo cáo “State of PAM Maturity” năm 2019 của Thycotic.
Trong số những tổ chức không đáp ứng được mức cơ bản của cấp độ trưởng thành:
- 55% không biết mình có bao nhiêu tài khoản đặc quyền hoặc nơi chúng tồn tại.
- Hơn 50% tài khoản đặc quyền của các tổ chức đó không bao giờ hết hạn hoặc bị thu hồi.
- Chỉ có 18% đang lưu trữ tất cả các tài khoản đặc quyền của mình trong một kho quản lý truy cập hoặc quản lý mật khẩu đặc quyền được bảo mật.
Theo Joseph Carson, nhà khoa học bảo mật trưởng tại Thycotic,“ Báo cáo về tình trạng an toàn trong quản lý truy cập đặc quyền năm 2019 là lời cảnh tỉnh cho các tổ chức trên toàn thế giới, yêu cầu họ phải đánh giá ngay các thực hành PAM của mình với mục tiêu vượt ra khỏi các thói quen nguy hiểm để triển khai Mô hình vòng đời PAM được nêu trong báo cáo của chúng tôi”.
Để có thể hiểu kết quả của báo cáo này, chúng ta cùng tìm hiểu bốn giai đoạn của đánh giá Mô hình trưởng thành PAM:
- Giai đoạn 1 – Dưới tiêu chuẩn - Các tổ chức trong giai đoạn này phải đối mặt với mức độ rủi ro cao.
- Giai đoạn 2 - Cơ bản - Các tổ chức chuyển từ giai đoạn dưới tiêu chuẩn sang giai đoạn cơ bản bằng cách triển khai các giải pháp bảo mật PAM và tự động hóa các quy trình thủ công tốn thời gian.
- Giai đoạn 3 - Nâng cao - Các tổ chức trong giai đoạn nâng cao chuyển đổi từ chiến lược bảo mật đặc quyền phản ứng sang chủ động bảo mật đặc quyền.
- Giai đoạn 4 - Thông minh thích ứng - Là giai đoạn cuối cùng của mô hình trưởng thành PAM, các tổ chức trong giai đoạn Thích ứng/Thông minh cải tiến liên tục để đạt được cấp độ cao hơn, tích hợp các công nghệ hàng đầu như học máy để thu thập thông tin và điều chỉnh phù hợp với các quy tắc hệ thống.
“Việc không có khả năng biết được mình có bao nhiêu tài khoản đặc quyền không được bảo vệ và nơi chúng tồn tại là một rủi ro lớn cho các tổ chức,” Joseph Carson cho biết.
“Vì các tài khoản đặc quyền như tài khoản dịch vụ và tài khoản quản trị viên tồn tại khắp mọi nơi ở nhiều vị trí trong một tổ chức nên cố gắng tự khám phá và quản lý chúng gần như là một điều không thể. Bước đầu tiên bạn cần làm là tự động hóa việc phát hiện tài khoản đặc quyền một cách liên tục để bạn có thể thấy những gì bạn cần bảo vệ và những kiểm soát bảo mật nào cần phải có.”