善尽特权帐号管理　清除最大网安祸首

力悦信息资深技术顾问陈柏荣。

在企业竭尽所能增强边界防护的同时，殊不知主要的网安战场，已经转移到内部网络的威胁，从几个现象便能印证此趋势。首先，90%企业组织曾经被入侵或渗透攻击，换言之，防护主题已经从「我可以阻挡所有来自外部的攻击」，变成为「我无法阻挡所有渗透潜在于内部的攻击」。

其次，据统计超过38%漏洞来自内部，因而形成最昂贵的管理成本，迫使企业需加强防御内部的恶意攻击、员工的不当使用。

「事实上，每天都在发生的网安事件，都有共同点，」力悦信息资深技术顾问陈柏荣说，网络攻击发动者的目的，皆在于取得特权帐户，以现今最火热的APT为例，其入侵者会尽其所能取得诸如网域Administrators、网域服务启动帐号、本机Administrator，及拥有特殊权限的使用者帐号。

欲停止威胁  需采取四大关键步骤

对于系统来说，使用特权帐号的登入者，究竟真是内部使用者，或出自外部攻击者的莫名之手，根本无从辨认，意谓不管是谁登入成功，即可恣意悠游企业内网的条条大道，朝向智能财产、财务信息…等核心资产存放处前进。

因此陈柏荣强调，特权帐号一向是潜在漏洞，且是获取企业机敏信息的唯一途径，所以称它为网安祸首并不为过。

既然如此，企业应怎麽做？陈柏荣认为，当务之急，企业宜审视自身的网安策略是否得宜，检讨是否应当继续投注大把资源与心力，用于抵御外部攻击？与此同时，亦需自问有无正视内部威胁或不当使用等问题？若没有，则该企业面对诸如PCI或ISO等稽核的合规性，显然有待商榷。

如果企业决定扭转上述僵局，可考量实施四个关键步骤，依序是「找出所有的特权帐户」、「保护并管理特权帐户的使用」、「控管、隔离及监控特权帐户在服务器与数据库上的使用状况」，及「透过实时分析特权帐户的使用状况，检测正在进行中的攻击，并做出回应与保护」。

有关特权帐号的存在现况分析，陈柏荣提出一个九宫格概念，纵横之一的「高权限个人帐号」，对应到横轴的「范围」是Cloud Providers，及等同于Super User权限的个人帐号；「使用人员」包括IT人员、全部员工；「用途」是特殊权限操作、存取敏感数据、网站管理。

纵横之二的「共享高权限帐号」，范围包括了Administrator、Unix root、Cisco Enable、Oracle SYS、Local Administrators与ERP Admin；使用人员涵盖IT人员、系统？网站管理员、数据库管理员、Help Desk或PC维修人员、程序开发人员、社群媒体管理员、传统应用程序；用途含括紧急状况、火灾发生、灾难复原、特殊权限操作及存取敏感数据。

至于纵横之三的「应用程序帐号(App2App)」，范围则包括内嵌或固定在程序码中的帐号及口令、系统服务启动帐号；使用人员包括Applications/Scripts、Windows Services、排程工作、批次工作、程序开发人员；用途有在线数据库存取、批次数据处理、App-2-App通讯连络。

企业可依据前述九宫格，针对应用程序、公司管理阶层、委外与服务厂商、系统管理人员、社群网站的帐号管理等各个面向，彻查所有特权帐户。

对此陈柏荣根据经验法则透露，特权帐户其实存在于数据库、服务器、应用程序、工业机台…等等每一种设备，一般来说，特权帐户数量与员工人数的比例，大抵落在2:1~3:1，至于如何保护与管理特权帐户的存取，则需要做好三件事，分别是确保企业存放的数码金库是安全的、导入强而有力的工作流程于特权帐户存取上，及透过单一且易于明白的政策管理。

论及如何控管、隔离及监控特权帐户在服务器与数据库上的使用状况，首先必须建立单一控制节点，以控管所有特权帐户的连线与操作，其次必须有效隔离核心系统与恶意软件蔓延区域，再者应监控与侧录所有操作指令的纪录，最终选择一个具有扩展性且冲击性较低的系统架构。

关于检测恶意特权行为的威胁析之道，重点有三，一是侦测且分析正在进行中的特权帐户攻击，二是减少SIEM系统误报的状况(须有针对性而非零散信息作为基底)，三是实施完整且可索引特定事件的侧录。

建立特权帐户管理层  并可采纳相关健诊服务

意欲满足上述林林总总准则，陈柏荣建议企业可在前端网络闸道、后台服务器集群的中间，导入诸如CyberArk解决方案，建立一道特权帐户管理机制。首先藉由CyberArk的Vaulting专利技术安全存放数码金库，作为整个管制架构的底层，继而建立Master Policy机制，透过简单明了的政策，好让主管、稽核官一目了然。

接着运用企业级Password Vault元件介接每项设备，并依据企业安全政策，定期自动更换口令；透过Privileged Session Manager，侧录、监控或中断特权帐户下达的操作指令；藉由Application Identity Manager监管App2App程序，且不影响应用效能；凭藉On-Demand Privileges Manager，实现「最低权限、最少存取」安全性原则。

另外，力悦信息在CyberArk之余，也提供特权帐号健诊服务，可协助企业找出特权帐号存在于哪些系统，并分析其关联性，使企业能据此构思管理对策。