善盡特權帳號管理 清除最大資安禍首 智慧應用 影音
蔡司
參數科技

善盡特權帳號管理 清除最大資安禍首

  • 魏淑芳

力悅資訊資深技術顧問陳柏榮。
力悅資訊資深技術顧問陳柏榮。

在企業竭盡所能增強邊界防護的同時,殊不知主要的資安戰場,已經轉移到內部網路的威脅,從幾個現象便能印證此趨勢。首先,90%企業組織曾經被入侵或滲透攻擊,換言之,防護主題已經從「我可以阻擋所有來自外部的攻擊」,變成為「我無法阻擋所有滲透潛在於內部的攻擊」。

其次,據統計超過38%漏洞來自內部,因而形成最昂貴的管理成本,迫使企業需加強防禦內部的惡意攻擊、員工的不當使用。

「事實上,每天都在發生的資安事件,都有共同點,」力悅資訊資深技術顧問陳柏榮說,網路攻擊發動者的目的,皆在於取得特權帳戶,以現今最火熱的APT為例,其入侵者會盡其所能取得諸如網域Administrators、網域服務啟動帳號、本機Administrator,及擁有特殊權限的使用者帳號。

欲停止威脅  需採取四大關鍵步驟

對於系統來說,使用特權帳號的登入者,究竟真是內部使用者,或出自外部攻擊者的莫名之手,根本無從辨認,意謂不管是誰登入成功,即可恣意悠遊企業內網的條條大道,朝向智慧財產、財務資訊…等核心資產存放處前進。

因此陳柏榮強調,特權帳號一向是潛在漏洞,且是獲取企業機敏資訊的唯一途徑,所以稱它為資安禍首並不為過。

既然如此,企業應怎麼做?陳柏榮認為,當務之急,企業宜審視自身的資安策略是否得宜,檢討是否應當繼續投注大把資源與心力,用於抵禦外部攻擊?與此同時,亦需自問有無正視內部威脅或不當使用等問題?若沒有,則該企業面對諸如PCI或ISO等稽核的合規性,顯然有待商榷。

如果企業決定扭轉上述僵局,可考量實施四個關鍵步驟,依序是「找出所有的特權帳戶」、「保護並管理特權帳戶的使用」、「控管、隔離及監控特權帳戶在伺服器與資料庫上的使用狀況」,及「透過即時分析特權帳戶的使用狀況,檢測正在進行中的攻擊,並做出回應與保護」。

有關特權帳號的存在現況分析,陳柏榮提出一個九宮格概念,縱橫之一的「高權限個人帳號」,對應到橫軸的「範圍」是Cloud Providers,及等同於Super User權限的個人帳號;「使用人員」包括IT人員、全部員工;「用途」是特殊權限操作、存取敏感資料、網站管理。

縱橫之二的「共用高權限帳號」,範圍包括了Administrator、Unix root、Cisco Enable、Oracle SYS、Local Administrators與ERP Admin;使用人員涵蓋IT人員、系統?網站管理員、資料庫管理員、Help Desk或PC維修人員、程式開發人員、社群媒體管理員、傳統應用程式;用途含括緊急狀況、火災發生、災難復原、特殊權限操作及存取敏感資料。

至於縱橫之三的「應用程式帳號(App2App)」,範圍則包括內嵌或固定在程式碼中的帳號及密碼、系統服務啟動帳號;使用人員包括Applications/Scripts、Windows Services、排程工作、批次工作、程式開發人員;用途有線上資料庫存取、批次資料處理、App-2-App通訊連絡。

企業可依據前述九宮格,針對應用程式、公司管理階層、委外與服務廠商、系統管理人員、社群網站的帳號管理等各個面向,徹查所有特權帳戶。

對此陳柏榮根據經驗法則透露,特權帳戶其實存在於資料庫、伺服器、應用程式、工業機台…等等每一種設備,一般來說,特權帳戶數量與員工人數的比例,大抵落在2:1~3:1,至於如何保護與管理特權帳戶的存取,則需要做好三件事,分別是確保企業存放的數位金庫是安全的、導入強而有力的工作流程於特權帳戶存取上,及透過單一且易於明白的政策管理。

論及如何控管、隔離及監控特權帳戶在伺服器與資料庫上的使用狀況,首先必須建立單一控制節點,以控管所有特權帳戶的連線與操作,其次必須有效隔離核心系統與惡意軟體蔓延區域,再者應監控與側錄所有操作指令的紀錄,最終選擇一個具有擴展性且衝擊性較低的系統架構。

關於檢測惡意特權行為的威脅析之道,重點有三,一是偵測且分析正在進行中的特權帳戶攻擊,二是減少SIEM系統誤報的狀況(須有針對性而非零散資訊作為基底),三是實施完整且可索引特定事件的側錄。

建立特權帳戶管理層  並可採納相關健診服務

意欲滿足上述林林總總準則,陳柏榮建議企業可在前端網路閘道、後台伺服器集群的中間,導入諸如CyberArk解決方案,建立一道特權帳戶管理機制。首先藉由CyberArk的Vaulting專利技術安全存放數位金庫,作為整個管制架構的底層,繼而建立Master Policy機制,透過簡單明瞭的政策,好讓主管、稽核官一目瞭然。

接著運用企業級Password Vault元件介接每項設備,並依據企業安全政策,定期自動更換密碼;透過Privileged Session Manager,側錄、監控或中斷特權帳戶下達的操作指令;藉由Application Identity Manager監管App2App程序,且不影響應用效能;憑藉On-Demand Privileges Manager,實現「最低權限、最少存取」安全性原則。

另外,力悅資訊在CyberArk之餘,也提供特權帳號健診服務,可協助企業找出特權帳號存在於哪些系統,並分析其關聯性,使企業能據此構思管理對策。