撼動美國國安體系的史諾登事件,以及台灣宏達電高階設計師將資料攜出的官司,這些案例的共通特性,在於將機密資料外洩的人員,都有非常高的系統或資料存取權限,也就是所謂的特權帳號,而這兩個例子相同的部分,也包含了關鍵資料外洩,分別對國家威信、企業營運造成非常嚴重的損害。
便利IT管理的特權帳號未防範,也易淪為駭客竊取資料的目標
特權帳號一詞,是指在資訊系統應用中,能獲得非常高控制權的作業系統、資料庫管理員,或是層級能閱覽很多資料的帳號,例如Windows的Administrator、Unix的root,或是ERP的Administrator等,都屬於特權帳號的一種,有些特權帳號是在產品開發時就產生的,像是作業系統或網路設備的預設管理員帳號;有的特權帳號則是提供給應用程式,作為存取資料庫或系統管理時的權限認證;其他的則是自行建立,提供給高層人員或IT人員方便管理系統、存取資料所使用的。
在IT管理的實務上,常會運用到這些特權帳號,不論是系統調整參數、資料庫維護,或是必要時存取機敏資料,特權帳號某些程度上可提升IT管理的便利性,然而便利性帶來的雙面刃,就是讓資安風險隨之提升,因此企業或各級單位也必須針對這些層面加以防範,試想一下,若因為管理疏失,讓員工濫用特權帳號的帳號與密碼,那麼史諾登事件與宏達電將會不斷重演,而故事內容也只是受害單位的名稱替換而已。
落實基本密碼管理工作,建立特權帳號使用機制
既然要用,就要妥善管理,讓特權帳號發揮應有的功能。力悅資訊業務部經理彭國達指出,特權帳號管理並非單純的資料調查統計,而是要建立一套完整的制度,並且落實分權管理,避免特權帳號遭到濫用,也提升企業環境內的資安強度,避免特權帳號淪為任何人開啟機密大門的鑰匙。「不少企業了解資安的重要性,也不斷購置各類新型態資安產品,投入許多預算的同時,卻忽略了密碼管理這個最重要的基本功。」
「企業面對特權帳號,要避免特定人員擁有至高無上的權力,至少應該區隔出系統管理權、資料擁有權,以及稽核權等三大塊。」彭國達經理表示:「根據國際資安機構的報告指出,有高達60%的員工所持有的帳號權限,是超過自己職責所需的範圍,而這些安全報告也不斷提醒,要IT管理人員用『最小權限』的方式來執行各種工作,例如要修改資料表欄位時,應該只要賦予該資料表的修改權限即可。」
區分權力與責任後,可以依循三大步驟來建立完善的帳號管理機制。首先要有將帳號密碼集中管理、整合的政策,透過一套健全的管理流程,讓這些帳號既能活用於管理工作,也能受到妥善的管理;第二步,就是要落實盤點、管理這些特權帳號,將這些帳號回到公司體系下管理,並根據實際應用情況區分權限等級,例如讓某些人能管理所有系統參數,但不要有檢視所有資料的權限;第三步是要制定彈性的工作流程,各種多元需求時都能獲得應有的權限,如此方式可以確保每件事情都在管控下執行,又不會因太過僵化導致IT管理不便。
由管理需求出發,挑選符合企業文化、簡單易用的管理工具
建立了有效的特權帳號管理機制,再來就要搭配適合的管理平台,將這些帳號妥善管理。彭國達經理建議IT人,選擇帳號管理平台必須要根據自家單位的情況,找出真正需要的功能,再從中挑選適合的產品,如此才能找到最適合企業環境與文化的管理工具,畢竟不同的管理工具,設計出發點都有所不同,若不清楚需求在初期評估時,可能會花費太多時間去測試不必要的功能。
「面對越來越複雜的IT環境,IT人不只需要有效的解決方案,操作介面還必需簡單易用,並能以單一流程應用到各種環境中,如CyberArk管理系統,能利用自動偵測、主動式的示警等功能,讓高度複雜的帳號管理工作,也能有更簡單維護的方法。」彭國達經理指出:「有些帳號密碼是以檔案方式存放,可直接透過CyberArk加密保存;有些則是存放在如路由器、防火牆等設備中,這時候就要仰賴產品支援度廣泛的CyberArk,幫助管理人員掌握各種帳號的存取脈絡,並利用詳細、免客製化的報表功能來輔助落實管理機制。」
彭國達經理補充,提到帳號管理不是一件很容易的工作,特別是那些特權帳號,加上IT系統日積月累產生的各種未知帳號,更是難上加難,但管理人員必須了解其風險,並以正確的觀念面對,先將可掌握的帳號納入規範,並用管理工具追蹤這些舊有系統,逐步掌握這些歷史留下來的資訊。「帳號管理主要用意,是要了解誰在何時做了哪些事情,並不是要限縮IT人的管理能力,事實上,如CyberArk等工具問世的原因之一,也是要保護IT人在運用這些特權帳號時,有充足的資料證明自己是合乎規定的管理員,面對法律爭議時也能確保自己的立場正確無虞。」
關於力悅資訊
力悅資訊為企業資訊系統的專業代理商,提供資訊安全領域相關之解決方案,成立迄今已成功引進多種IT產品,並為大中華市場中不同規模的客群,提供專業分析、顧問與系統建置。秉持著「運用資訊技術幫助企業獲利」的信念,力悅資訊不斷引進全球最新的產品與觀點,導入CyberArk等管理系統,
深入了解企業需求,藉此提供量身訂做的IT服務。
力悅資訊股份有限公司 聯絡電話:02-25071601。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-26
2024-04-25
2024-04-22