iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 6
1
Security

資安分析師的轉職升等之路系列 第 6

Day 6 終於不用背9999組帳密 : Privilege Access Management

相信各位MIS夥伴都有發現公司員工並未妥善保管帳號密碼的經驗。也許你在同事電腦裡C:\Users\user\Documents 看到 Password.txt;或者在鍵盤下發現一張便條紙寫著登入密碼;甚至有人直接把寫著密碼的便條紙貼在電腦螢幕旁邊。我們往往把這些隨意洩漏帳號密碼的事情,當作茶餘飯後的IT笑話。那麼我們自己又是如何管理帳號密碼呢?

MIS人員的帳號往往比一般使用者有更高權限,同時也知道一些特殊權限的帳號密碼,例如Domain Administrator 或同等存取權限的特殊帳號,這些特殊權限帳號的存取、使用一向是資訊安全的一大課題。而有些時候,我們又不得不分享這些特殊權限帳號,例如:公司雇用一名Consultant顧問來專門升級伺服器上的業務軟體,依照作業流程,應該要由一名MIS人員跟著這位外聘顧問,每當需要輸入帳號密碼,都是由MIS人員輸入,然而實際情況卻往往是MIS人員「信任」顧問,自己去忙別的事情,將帳號密碼交給顧問方便作業;按照程序,如果該名顧問必須知道密碼,當升級結束顧問離開時就應該馬上重設密碼,但是MIS有可能忘記重設,或者遺漏而沒有重設所有的密碼;而顧問拿到帳號密碼後是否確實地執行工作?還是有更改到一些超出工作內容的範圍呢?

之前公司有伺服器在AWS上,每次外聘顧問要在AWS上的伺服器工作,都必須先EMAIL通知我們(還要等我們看到EMAIL),由一名MIS人員開啟TEAMVIEWER讓顧問連進一台電腦,再從那台電腦連到AWS上的伺服器。顧問在工作的同時,那名MIS人員就只能坐著看顧問在螢幕上動來動去。有一次我發現這個情況,笑問同事:「萬一你要去廁所或吃午餐怎麼辦?」同事回答:「沒辦法,只能等著。而且如果是非正常上班時間顧問要到AWS上的伺服器工作,我們也無法配合。」姑且不論這樣使用TEAMVIEWER來連線是否安全,如此耗費一個人力,最最可怕的是:MIS人員可能要記住上百組不同的帳號密碼,每次重設都要花時間重新記憶,如果為了方便而使用類似或相近的密碼,那反而降低帳號的安全性(尤其這些是特殊權限帳號更應謹慎小心處理),該如何兼顧安全性與便利性呢?

https://ithelp.ithome.com.tw/upload/images/20171225/20084806WfHHrCAhZ1.jpg

*來自網路截圖

當我發現這個問題,便研究如何去降低潛在風險。我的解決方案是應用Privilege Access Management (PAM) 軟體。有的廠商會定位為Privilege Session Management或Privilege Identity Management,其中功能有些微差異,但是大致上都具備以下特色:

1. 有完整的申請紀錄登入紀錄,清楚記載何時何地(那台電腦或伺服器) 。例如員工A 申請要使用帳號Administrator在伺服器C上,使用期限為兩小時,由主管 B 同意 approve。從申請、同意、發放、到收回權限皆有跡可循。
2. 只能申請自己允許範圍內的帳密。除非由更高層主管(同意並)分派,每當員工A登入PAM,只會看到自己允許執行的帳號。
3. 可以在每次申請期限過後,或者每30天、90天等自動重設密碼。如此每當外聘顧問申請期限結束,密碼便會自動重設。
4. PAM軟體可以設置不顯示該帳號密碼,以該帳號直接開啟RDP或SSH Terminal 到伺服器。這項功能堪稱密碼健忘症救星,從此完全無須背一堆特殊權限密碼,只要登入PAM軟體,直接RDP到伺服器;如果登入後再需要密碼,可以另外申請顯示密碼 (可能需要另一次主管同意Approve)
5. 紀錄錄影直接監控RDP或SSH Terminal Session。每次從PAM軟體開啟的RDP或SSH Terminal Session都可以有錄影存檔,或者由管理員登入在幕後直接監控RDP或SSH Session,甚至發現奇怪的行為,可以直接中斷Session。

「我說的不是那種肉眼看不見的資料還是數字排列,只要按下重新設定鍵切斷電源就會消失的東西。而真正重要的是記憶。不管切斷幾次電源,或是燒掉保險絲都不會消失。」--坂田銀時《銀魂》

以上是自己對應Privilege Access的經驗分享,相信每間公司的政策和方法程序都不同,您又是怎麼控管特殊權限帳號呢?歡迎留言分享。


上一篇
Day 5 玩遊戲學資安 : 數位學習管理平台
下一篇
Day 7 有備無患 : 企業永續運作計畫(BCP)很重要
系列文
資安分析師的轉職升等之路32

1 則留言

1
allenjung
iT邦新手 5 級 ‧ 2017-12-25 11:05:33

特權帳號這問題,以前差點被某個經理挖出來搞
(雖然他很機掰)....因為人力有限技術無限
我真的看不懂微軟官方寫的sol
PAM

Sergeyau iT邦研究生 5 級‧ 2017-12-25 12:41:47 檢舉

後來有解決的方案嗎?

我看微軟的方案是著重identity,提供特色1和2的功能。我們之前也有設置MIM測試,但是缺乏特色5.「紀錄、錄影或直接監控RDP或SSH Terminal Session」的功能,所以另外選擇PAM軟體。

微軟的identity方案是幾年前買下另一家公司後整合進去的,之前公司的微軟聯絡窗口帶著SE來介紹了整套Identity方案,包括mobile MDM, Azure AD, MFA, MIM, Single Sign-On(SSO)...等等,因為和很多我們已使用的產品重覆,而且真的聽起來.....是番大工程,所以就沒有考慮了。

如果那位有成功的案例,我也很想聽聽分享^^

我要留言

立即登入留言