善尽特权帐号管理 清除最大网安祸首 智能应用 影音
Microchip
Event

善尽特权帐号管理 清除最大网安祸首

  • 魏淑芳

力悦信息资深技术顾问陈柏荣。
力悦信息资深技术顾问陈柏荣。

在企业竭尽所能增强边界防护的同时,殊不知主要的网安战场,已经转移到内部网络的威胁,从几个现象便能印证此趋势。首先,90%企业组织曾经被入侵或渗透攻击,换言之,防护主题已经从「我可以阻挡所有来自外部的攻击」,变成为「我无法阻挡所有渗透潜在于内部的攻击」。

其次,据统计超过38%漏洞来自内部,因而形成最昂贵的管理成本,迫使企业需加强防御内部的恶意攻击、员工的不当使用。

「事实上,每天都在发生的网安事件,都有共同点,」力悦信息资深技术顾问陈柏荣说,网络攻击发动者的目的,皆在于取得特权帐户,以现今最火热的APT为例,其入侵者会尽其所能取得诸如网域Administrators、网域服务启动帐号、本机Administrator,及拥有特殊权限的使用者帐号。

欲停止威胁  需采取四大关键步骤

对于系统来说,使用特权帐号的登入者,究竟真是内部使用者,或出自外部攻击者的莫名之手,根本无从辨认,意谓不管是谁登入成功,即可恣意悠游企业内网的条条大道,朝向智能财产、财务信息…等核心资产存放处前进。

因此陈柏荣强调,特权帐号一向是潜在漏洞,且是获取企业机敏信息的唯一途径,所以称它为网安祸首并不为过。

既然如此,企业应怎麽做?陈柏荣认为,当务之急,企业宜审视自身的网安策略是否得宜,检讨是否应当继续投注大把资源与心力,用于抵御外部攻击?与此同时,亦需自问有无正视内部威胁或不当使用等问题?若没有,则该企业面对诸如PCI或ISO等稽核的合规性,显然有待商榷。

如果企业决定扭转上述僵局,可考量实施四个关键步骤,依序是「找出所有的特权帐户」、「保护并管理特权帐户的使用」、「控管、隔离及监控特权帐户在服务器与数据库上的使用状况」,及「透过实时分析特权帐户的使用状况,检测正在进行中的攻击,并做出回应与保护」。

有关特权帐号的存在现况分析,陈柏荣提出一个九宫格概念,纵横之一的「高权限个人帐号」,对应到横轴的「范围」是Cloud Providers,及等同于Super User权限的个人帐号;「使用人员」包括IT人员、全部员工;「用途」是特殊权限操作、存取敏感数据、网站管理。

纵横之二的「共享高权限帐号」,范围包括了Administrator、Unix root、Cisco Enable、Oracle SYS、Local Administrators与ERP Admin;使用人员涵盖IT人员、系统?网站管理员、数据库管理员、Help Desk或PC维修人员、程序开发人员、社群媒体管理员、传统应用程序;用途含括紧急状况、火灾发生、灾难复原、特殊权限操作及存取敏感数据。

至于纵横之三的「应用程序帐号(App2App)」,范围则包括内嵌或固定在程序码中的帐号及口令、系统服务启动帐号;使用人员包括Applications/Scripts、Windows Services、排程工作、批次工作、程序开发人员;用途有在线数据库存取、批次数据处理、App-2-App通讯连络。

企业可依据前述九宫格,针对应用程序、公司管理阶层、委外与服务厂商、系统管理人员、社群网站的帐号管理等各个面向,彻查所有特权帐户。

对此陈柏荣根据经验法则透露,特权帐户其实存在于数据库、服务器、应用程序、工业机台…等等每一种设备,一般来说,特权帐户数量与员工人数的比例,大抵落在2:1~3:1,至于如何保护与管理特权帐户的存取,则需要做好三件事,分别是确保企业存放的数码金库是安全的、导入强而有力的工作流程于特权帐户存取上,及透过单一且易于明白的政策管理。

论及如何控管、隔离及监控特权帐户在服务器与数据库上的使用状况,首先必须建立单一控制节点,以控管所有特权帐户的连线与操作,其次必须有效隔离核心系统与恶意软件蔓延区域,再者应监控与侧录所有操作指令的纪录,最终选择一个具有扩展性且冲击性较低的系统架构。

关于检测恶意特权行为的威胁析之道,重点有三,一是侦测且分析正在进行中的特权帐户攻击,二是减少SIEM系统误报的状况(须有针对性而非零散信息作为基底),三是实施完整且可索引特定事件的侧录。

建立特权帐户管理层  并可采纳相关健诊服务

意欲满足上述林林总总准则,陈柏荣建议企业可在前端网络闸道、后台服务器集群的中间,导入诸如CyberArk解决方案,建立一道特权帐户管理机制。首先藉由CyberArk的Vaulting专利技术安全存放数码金库,作为整个管制架构的底层,继而建立Master Policy机制,透过简单明了的政策,好让主管、稽核官一目了然。

接着运用企业级Password Vault元件介接每项设备,并依据企业安全政策,定期自动更换口令;透过Privileged Session Manager,侧录、监控或中断特权帐户下达的操作指令;藉由Application Identity Manager监管App2App程序,且不影响应用效能;凭藉On-Demand Privileges Manager,实现「最低权限、最少存取」安全性原则。

另外,力悦信息在CyberArk之余,也提供特权帐号健诊服务,可协助企业找出特权帐号存在于哪些系统,并分析其关联性,使企业能据此构思管理对策。