前幾天有談到身分認證和多因子MFA，今天來談談賦予帳號的權限部分

權限，這個又香又誘人的東西，不僅人人愛駭客也愛，我們常見到的資安事故中，帳號權限佔有不可或缺的要角:

• 1.攻方首先運用釣魚信、外洩資料、側錄等方式侵入一般員工帳號，用其身分侵入內網
• 2.透過此身分開始橫向移動，收集組織資訊、釐清系統位址，更重要是是:嘗試入侵系統特權帳號(admin)
• 3.取得單一系統特權帳號後，更甚者開始嘗試對Domain admin成員試圖入侵，或是嘗試提升權限。
• 4.一旦成功如獲至寶，則可開始展開APT攻擊。
  
  (圖片引用自威雲科技)

這邊要請您先了解兩個原則，這也是權限治理的重點

• 1.最小權限(Least privilege):也稱最少權限原則，只開放該帳號可存取的範圍，用一個admin走天下是大忌。
• 2.僅知原則(Need To Know):不是你該知道的事，不會讓你知道有它的存在。

(圖片引用自wiki)

初步建議可以分成二類:

一、一般帳號:泛指使用者帳戶，不具備系統管理員身分權限的。

• 1.是一般user帳號，請給予user的權限就好，避免給他local admin或power user的權限等級。
• 2.UAC雖然略煩，但立意良善，對於系統存取的動作適時提醒有助於使用者對提權的警覺心建立。
• 3.組織內職務異動時，移除舊有職務的系統權限很重要，這部分也是稽核的重點，
• 4.謹遵到職建立、離職刪除的正常作業程序，太多例外(留停/留念)會留成破口。

二、特權帳號:泛指各式系統、網域、具有特殊管理權限的帳戶，應受到嚴密安全監控，並強制使用MFA保護。常見的對象有:

• 1.Domain admin: AD網域的最高管理帳戶
• 2.DB admin:各式資料庫管理帳戶
• 3.mail admin:郵件系統管理帳戶
• 4.hr admin:考勤與薪資系統帳戶
• 5.ERP/SAP admin:財務系統帳戶
• 6.cloud admin:企業雲端授權配置帳戶
• 7.FW/core SW: 網通設備/資安系統的管理者帳戶
• 8.高階主管帳號:如CEO、總裁，高攻擊價值帳戶(有些權限不亞於domain admin，老大要暢行無阻的代價)
  
  (圖片引用自威雲科技)

特權帳號的失守即災難的開始，兵家必爭之地，特權帳號管理的六項步驟可參考ITHOME的實作方式

• 1.清查並減少公司內的特權帳號數量
• 2.禁止一般user帳號具備特權存取權限
• 3.制定獲取特權存取密碼的機制流程
• 4.禁用密碼永遠有效
• 5.規劃安全存放特權密碼的地方
• 6.查閱特權密碼使用的軌跡紀錄

(圖片引用自網管人)

上述除可人工作業外，另也建議若預算足夠者可選用Privileged Access Management(PAM) 特權帳號管理系統，國外最知名的莫過於CyberArk，國內則有Anchor，還有許多優秀產品就族繁不及備載了。

(圖片引用自智弘軟體)

參考資料與延伸閱讀:
落實權限區隔，避免特權帳號淪為資料外洩的頭號元凶
特權帳號自動配發管理 輕鬆遵循法規並落實資安