FineArt News

資安新知

帳號管理為什麼這麼重要?

在整個企業中,使用者依靠帳號和密碼來存取服務和管理設備。這些帳戶的安全性非常重要,保護特權帳戶存取更為重要。特權帳戶具有系統管理級別的存取權限,允許管理者對服務和設備進行設定變更。

在對密碼管理相關方面,特別是像 PAM (Privileged Access Management) 的系統,其安全需求是來自於組織中對所有不同帳戶和密碼管理的困難。通常情況下,環境中的密碼比人員數量多五倍或更高;當密碼未以適當方式管理或更替時,則容易造成洩漏的風險。IT 部門在建立密碼系統時,密碼通常無法或不允許以其他形式保存,或者它們可能永遠不會更替。而特權帳戶如果沒有得到適當的保護,組織很容易受到實質損害。

遠端工作與使用自帶裝置工作的興盛,都有可能讓存在於端點設備上的帳戶,完全脫離IT管理的掌控。再者,使用者設備也不在受保護的IT基礎環境之內,難以施以有效的控制管理。

除了管理特權帳戶的生命周期的問題,包括如何建立和更替密碼週期等;更要建立稽核追蹤,顯示哪些特權帳戶在什麼時候做了什麼事,還須提供在使用者工作階段加上多因子身份驗證 。

 

什麼是特權帳戶?與它們可能的潛在危險 

特權帳戶大致可分為七大類:

  1. Local Administrative Accounts 本機系統管理員
    這些帳戶具有對本機作業系統重要服務或功能的管理權限。它們通常用於 IT 相關工作,如伺服器維護和資料庫管理。
  1. Privileged User Accounts 特權使用者
    這些帳戶可以存取敏感資料和交易記錄,指派給組織內部分特定的人員,也被稱為"超級使用者"。
  1. Domain Administrative Accounts 網域管理
    這些是管理組織專屬的帳戶類型。他們有權存取所有網域內的伺服器和工作站,可用於變更其他管理帳戶、使用者帳戶;以及變更伺服器和工作站設定。
  1. Emergency Accounts 緊急帳戶
    這些是為在緊急情況下使用的fail-safe 帳戶,將非特權使用者帳戶提升到管理者權限,以解決系統問題或在反制攻擊,它們也被稱為break-glass和fire-call帳戶。
  1. Service Accounts 系統服務
    這些是用於應用程式/服務與作業系統之間通信的特權網域和本機帳戶。它們操作複雜,幾乎永遠不會過期,因此造成潛在的危險。大多數組織對服務帳戶沒有任何有效稽核:組織可能沒察覺他們的存在,或者未分配置設定,暫停。帳戶可能是有效的,但從來沒有被使用過;密碼可能永遠不會過期,密碼強度不足或沒有密碼。這都可能被勒索軟體、惡意程式、非善意內部人員所利用。
  1. Active Directory or Domain Service Accounts AD或網域服務帳戶
    這些帳戶將網域資源組織成邏輯層次結構,從而使組織內核心系統功能順利運作。
  1. Application Accounts 應用程式帳戶
    這些帳戶用於管理應用程式的存取活動,包括執行批次作業和對資料庫的存取權限等。這些帳戶的密碼可能存於未加密的檔案中(如 ini, cfg 等),或者以明文方式包含在程式碼(code, script, bat, shell ) 當中,因此容易被找出而形成重大風險。

 

特權帳戶管理的挑戰

然而組織是個活生生的實體,需要盡可能少的員工帳戶驗證與存取的阻礙。當密碼是人員數量的五倍時,管理存取權限似乎是一項非常令人沮喪的任務。

密碼驗證在安全上是出了名的不可靠。儘管多年來 IT 團隊都在盡最大努力推動密碼管理的最佳實務,但用戶可能選擇不安全的密碼,並在整個企業環境中重複使用密碼。畢竟人的記憶有限,個人可管理的密碼數量受到限制,這最終導致使用者驗證及存取控管出現安管上的缺口。

特權帳戶和普通帳戶之間的根本區別在於,特權帳戶比標準賬戶擁有更多更強的功能,需要加強安全與保護。

 

如何有效管理帳號與存取權限

強化特權帳戶管理(PAM)基本上需要嚴格的計劃和 IT 基礎設施來配合。它需要的安全控制,身分驗證,事件稽核、活動監視。不論是否有專屬PAM系統的情況下,以下是建議的實務做法:

強化密碼原則

強密碼原則是基本的網路存取安全要求,也是身分驗證的必要因子。特權帳戶必須定期更改密碼,並遵循密碼管理原則,不允許共用。有一些密碼管理工具,如LastPass,可以安全地儲存密碼並提供密碼強度分析。

存取權與權責分離

理想情況下,特權帳戶只應授予適當的人員。這就必須根據工作需要,將特權和職責義務分開指派。理想情況下,只有組織和部門內有限數量的特定人員才有權擁有特權帳戶。它還需要分離角色和功能,包括使用者讀取、寫入、編輯修改和執行檔案資料的權利等。職責角色和特權存取的分離或隔離,可防止人員超出存取範圍而違反安全規定;並確保事件調查的日誌完整性不受干擾。

系統隔離與網路隔離

系統隔離與網路隔離,基本上就是需要將它們像特權和職責分離,基於工作相關性和重要性而區隔開一樣。

監控和稽核特權存取活動

對資料的安全威脅之一是來自組織內的違規洩漏行為,通常是來自具有特權存取的人員。因此,有必要對特權存取活動監控 。除了監控和記錄特權活動外,還有必要透過端點的系統與人員活動記錄和螢幕截圖來稽核監視所有活動。

 

其他建議

在既有的監視及稽核的記錄前提下,進一步實施活動偵測和防止未經授權存取的控制作法。對於有特權帳戶的人員,利用活動記錄分析不正常活動也很重要,這將有助於建立修改對應的安全政策,或防止潛在攻擊發生。