做好稽核及日誌管理 落實資安解決方案
許多政府或金融單位都已經開始重視資訊安全的管理,包括帳號整合、工具應用等,都積極進行集中化的控管及分析,對企業競爭力的影響也日漸提高。但台灣網威資深產品技術經理蔡政霖指出,很多企業常常一窩蜂跟潮流,道聽塗說,而忽略內部是否真的有需求;如果沒有建立正確的資安觀念,做好資訊安全規劃的難度勢必會提高。
蔡政霖指出,資安規劃策略的依據,包括個人資料保護法、內部與外部威脅及目標,如建置符合IT GRC策略的方案架構,以達成帳號與權限管理自動化目標,符合法規稽核與日誌管理驗證要求等。值得注意的是,由於內部的威脅其實十倍於外部的威脅,許多IT人員也開始感覺到日誌管理的重要性。
解決IT資源與人員的複雜關係,更是IT人員的責任。其中使用者包括員工(駐外、內部、約聘、臨時雇員)、外包合作夥伴、廠商等,要考慮的管理範圍,包括密碼管理、存取安全、權限管理精準度、幽靈帳號、管理成本及作業效率、帳號資料一致性、認證與稽核等。
為了處理前述的複雜問題,蔡政霖認為,唯有透過帳號與權限管理,以及稽核與日誌管理,才能做到有效控管。如帳號與權限管理必須做到集中化的管理,稽核與日誌管理則是要做好保存的動作。
帳號與權限管理要做到自動化
帳號與權限管理首先要按規則做到自動化,如人員只要更換部門,帳號權限就會自動改變,或是按管理者的授權設定,執行自動化規則,如Lock、Reset、同步等。
蔡政霖指出,特殊權限的帳號,包括申請、核可及回收,其實很難管理,因此也可考慮按照申請與可的程序執行自動化,讓一般使用者能在企業入口網站做申請,或是在特定時間使用特殊權限,如安裝軟體、拷貝檔案。但一定要嚴加控管,申請才能拿到,用完就回收。
由於系統管理者等人經常共用特權帳號,往往會造成責任歸屬的問題,也經常帶來風險。因此,蔡政霖指出,即使是受信任的管理者,也不需要長時間使用特權帳號,如果沒有制度妥善管理,將會帶來非常大的風險。
做好稽核與日誌管理 才能釐清責任
蔡政霖根據Gartner Best Practices,建議企業在管理特權帳號時,要注意的重點,包括:減少特權帳號數量,以及持有特權帳號的使用者數量,只要能滿足作業需求即可;限制特權帳號只能在特殊的情況下使用;減少「共用」特權帳號的數量,以及使用的機會;不同類型的帳號,應該要透過自動化,有不同的作業流程,以控管特權帳號和密碼的使用;建立監控稽核機制,釐清責任,符合法規。
最重要的就是落實「最少權限原則(Principle of Least Privilege)」,最少的權限才是最安全的。此外,整體方案設計還必須考慮是否符合資安稽核的帳號管理、主機權限與稽核歸管理、日誌保存與即時安控管理。蔡政霖強調,由於風險難以杜絕,因此一定要做好稽核與日誌管理,才能找出需要修改的地方,讓風險發生的可能性降至最低。
蔡政霖指出,有了稽核與日誌管理的配合,可以有效補足並延伸帳號與權限管理方案中,有關稽核與報告的功能與視野,是想要落實資安政策執行的企業,值得參考的方向。