iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 19
0

前幾天有談到身分認證和多因子MFA,今天來談談賦予帳號的權限部分

權限,這個又香又誘人的東西,不僅人人愛駭客也愛,我們常見到的資安事故中,帳號權限佔有不可或缺的要角:

  • 1.攻方首先運用釣魚信、外洩資料、側錄等方式侵入一般員工帳號,用其身分侵入內網
  • 2.透過此身分開始橫向移動,收集組織資訊、釐清系統位址,更重要是是:嘗試入侵系統特權帳號(admin)
  • 3.取得單一系統特權帳號後,更甚者開始嘗試對Domain admin成員試圖入侵,或是嘗試提升權限。
  • 4.一旦成功如獲至寶,則可開始展開APT攻擊。
    挑戰
    (圖片引用自威雲科技)

這邊要請您先了解兩個原則,這也是權限治理的重點

  • 1.最小權限(Least privilege):也稱最少權限原則,只開放該帳號可存取的範圍,用一個admin走天下是大忌。
  • 2.僅知原則(Need To Know):不是你該知道的事,不會讓你知道有它的存在。

wiki
(圖片引用自wiki)

初步建議可以分成二類:

一、一般帳號:泛指使用者帳戶,不具備系統管理員身分權限的。

  • 1.是一般user帳號,請給予user的權限就好,避免給他local admin或power user的權限等級。
  • 2.UAC雖然略煩,但立意良善,對於系統存取的動作適時提醒有助於使用者對提權的警覺心建立。
  • 3.組織內職務異動時,移除舊有職務的系統權限很重要,這部分也是稽核的重點,
  • 4.謹遵到職建立、離職刪除的正常作業程序,太多例外(留停/留念)會留成破口。

二、特權帳號:泛指各式系統、網域、具有特殊管理權限的帳戶,應受到嚴密安全監控,並強制使用MFA保護。常見的對象有:

  • 1.Domain admin: AD網域的最高管理帳戶
  • 2.DB admin:各式資料庫管理帳戶
  • 3.mail admin:郵件系統管理帳戶
  • 4.hr admin:考勤與薪資系統帳戶
  • 5.ERP/SAP admin:財務系統帳戶
  • 6.cloud admin:企業雲端授權配置帳戶
  • 7.FW/core SW: 網通設備/資安系統的管理者帳戶
  • 8.高階主管帳號:如CEO、總裁,高攻擊價值帳戶(有些權限不亞於domain admin,老大要暢行無阻的代價)
    管理困難
    (圖片引用自威雲科技)

特權帳號的失守即災難的開始,兵家必爭之地,特權帳號管理的六項步驟可參考ITHOME的實作方式

  • 1.清查並減少公司內的特權帳號數量
  • 2.禁止一般user帳號具備特權存取權限
  • 3.制定獲取特權存取密碼的機制流程
  • 4.禁用密碼永遠有效
  • 5.規劃安全存放特權密碼的地方
  • 6.查閱特權密碼使用的軌跡紀錄

成熟度
(圖片引用自網管人)

上述除可人工作業外,另也建議若預算足夠者可選用Privileged Access Management(PAM) 特權帳號管理系統,國外最知名的莫過於CyberArk,國內則有Anchor,還有許多優秀產品就族繁不及備載了。

智弘軟體
(圖片引用自智弘軟體)

參考資料與延伸閱讀:
落實權限區隔,避免特權帳號淪為資料外洩的頭號元凶
特權帳號自動配發管理 輕鬆遵循法規並落實資安


上一篇
基礎資安常見破口:身分帳號保管
下一篇
基礎資安常見破口:遠距工作的VPN連線
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言