善盡特權帳號管理　清除最大資安禍首

力悅資訊資深技術顧問陳柏榮。

在企業竭盡所能增強邊界防護的同時，殊不知主要的資安戰場，已經轉移到內部網路的威脅，從幾個現象便能印證此趨勢。首先，90%企業組織曾經被入侵或滲透攻擊，換言之，防護主題已經從「我可以阻擋所有來自外部的攻擊」，變成為「我無法阻擋所有滲透潛在於內部的攻擊」。

其次，據統計超過38%漏洞來自內部，因而形成最昂貴的管理成本，迫使企業需加強防禦內部的惡意攻擊、員工的不當使用。

「事實上，每天都在發生的資安事件，都有共同點，」力悅資訊資深技術顧問陳柏榮說，網路攻擊發動者的目的，皆在於取得特權帳戶，以現今最火熱的APT為例，其入侵者會盡其所能取得諸如網域Administrators、網域服務啟動帳號、本機Administrator，及擁有特殊權限的使用者帳號。

欲停止威脅  需採取四大關鍵步驟

對於系統來說，使用特權帳號的登入者，究竟真是內部使用者，或出自外部攻擊者的莫名之手，根本無從辨認，意謂不管是誰登入成功，即可恣意悠遊企業內網的條條大道，朝向智慧財產、財務資訊…等核心資產存放處前進。

因此陳柏榮強調，特權帳號一向是潛在漏洞，且是獲取企業機敏資訊的唯一途徑，所以稱它為資安禍首並不為過。

既然如此，企業應怎麼做？陳柏榮認為，當務之急，企業宜審視自身的資安策略是否得宜，檢討是否應當繼續投注大把資源與心力，用於抵禦外部攻擊？與此同時，亦需自問有無正視內部威脅或不當使用等問題？若沒有，則該企業面對諸如PCI或ISO等稽核的合規性，顯然有待商榷。

如果企業決定扭轉上述僵局，可考量實施四個關鍵步驟，依序是「找出所有的特權帳戶」、「保護並管理特權帳戶的使用」、「控管、隔離及監控特權帳戶在伺服器與資料庫上的使用狀況」，及「透過即時分析特權帳戶的使用狀況，檢測正在進行中的攻擊，並做出回應與保護」。

有關特權帳號的存在現況分析，陳柏榮提出一個九宮格概念，縱橫之一的「高權限個人帳號」，對應到橫軸的「範圍」是Cloud Providers，及等同於Super User權限的個人帳號；「使用人員」包括IT人員、全部員工；「用途」是特殊權限操作、存取敏感資料、網站管理。

縱橫之二的「共用高權限帳號」，範圍包括了Administrator、Unix root、Cisco Enable、Oracle SYS、Local Administrators與ERP Admin；使用人員涵蓋IT人員、系統？網站管理員、資料庫管理員、Help Desk或PC維修人員、程式開發人員、社群媒體管理員、傳統應用程式；用途含括緊急狀況、火災發生、災難復原、特殊權限操作及存取敏感資料。

至於縱橫之三的「應用程式帳號(App2App)」，範圍則包括內嵌或固定在程式碼中的帳號及密碼、系統服務啟動帳號；使用人員包括Applications/Scripts、Windows Services、排程工作、批次工作、程式開發人員；用途有線上資料庫存取、批次資料處理、App-2-App通訊連絡。

企業可依據前述九宮格，針對應用程式、公司管理階層、委外與服務廠商、系統管理人員、社群網站的帳號管理等各個面向，徹查所有特權帳戶。

對此陳柏榮根據經驗法則透露，特權帳戶其實存在於資料庫、伺服器、應用程式、工業機台…等等每一種設備，一般來說，特權帳戶數量與員工人數的比例，大抵落在2:1~3:1，至於如何保護與管理特權帳戶的存取，則需要做好三件事，分別是確保企業存放的數位金庫是安全的、導入強而有力的工作流程於特權帳戶存取上，及透過單一且易於明白的政策管理。

論及如何控管、隔離及監控特權帳戶在伺服器與資料庫上的使用狀況，首先必須建立單一控制節點，以控管所有特權帳戶的連線與操作，其次必須有效隔離核心系統與惡意軟體蔓延區域，再者應監控與側錄所有操作指令的紀錄，最終選擇一個具有擴展性且衝擊性較低的系統架構。

關於檢測惡意特權行為的威脅析之道，重點有三，一是偵測且分析正在進行中的特權帳戶攻擊，二是減少SIEM系統誤報的狀況(須有針對性而非零散資訊作為基底)，三是實施完整且可索引特定事件的側錄。

建立特權帳戶管理層  並可採納相關健診服務

意欲滿足上述林林總總準則，陳柏榮建議企業可在前端網路閘道、後台伺服器集群的中間，導入諸如CyberArk解決方案，建立一道特權帳戶管理機制。首先藉由CyberArk的Vaulting專利技術安全存放數位金庫，作為整個管制架構的底層，繼而建立Master Policy機制，透過簡單明瞭的政策，好讓主管、稽核官一目瞭然。

接著運用企業級Password Vault元件介接每項設備，並依據企業安全政策，定期自動更換密碼；透過Privileged Session Manager，側錄、監控或中斷特權帳戶下達的操作指令；藉由Application Identity Manager監管App2App程序，且不影響應用效能；憑藉On-Demand Privileges Manager，實現「最低權限、最少存取」安全性原則。

另外，力悅資訊在CyberArk之餘，也提供特權帳號健診服務，可協助企業找出特權帳號存在於哪些系統，並分析其關聯性，使企業能據此構思管理對策。