在企業環境內,「特權存取」是指超出標準用戶權限之特殊存取權限或資格。特權存取可讓組織保護其基礎結構及應用程式,高效率經營業務並維持敏感資料與關鍵基礎設施的機密性。
人類用戶或非人類用戶都可能獲得特權存取,例如 應用程式 和 機器身份。
人類使用的特權存取例子:
- 超級用戶帳號: IT系統管理員使用的帳號權限強大,可對系統或應用程式進行配置、新增或移除用戶或刪除資料。
- 網域管理帳號:一個針對網域內所有工作站及伺服器提供特權管理存取權的帳號。這些帳號通常數量不多,卻掌握整個網路範圍最廣、最強大的存取權限。「IT王國之鑰」一詞經常被用來形容某些管理員帳號及系統的特權性質。
- 本地管理帳號:該帳號位於終端或工作站上,並使用用戶名稱與密碼的組合。它可協助人們存取其本地電腦或裝置並進行變更。
- 安全套接層(SSH)密鑰:SSH密鑰是使用頻繁的存取控制協定,可提供對關鍵系統的直接根存取權。根是根據預設有權存取Linux或其他Unix類似作業系統上所有命令及檔案的用戶名稱或帳號。
- 緊急帳號: 在緊急情況時為用戶提供安全系統管理存取權限。有時也稱為救火或破窗帳號。
- 特權業務用戶:是在IT外部工作、但可存取敏感系統的人員。可能包括需要存取財務、人資或行銷系統的人員。
非人類特權存取的例子:
- 應用程式帳號:專用於應用軟體的特權帳號,通常用來處理、配置或管理對應用軟體的存取權限。
- 服務帳號: 應用程式或服務使用此帳號與作業系統互動。服務使用這些帳號存取作業系統或組態配置及進行變更
- SSH密鑰:(如上所述)。自動化過程也使用SSH密鑰。
- 金鑰: 開發維運(DevOps)團隊經常使用此名詞泛指SSH密鑰、應用程式介面(API)密鑰及開發維運團隊提供特權存取所使用的其他憑證。
特權帳號、憑證及金鑰無處不在:據估計,其數量通常比員工人數多三至四倍。在現代商業環境內,隨著系統、應用程式、機器對機器帳號、雲端 及混合環境、 開發維運環境、機器人流程自動化 及物聯網裝置的互連越來越緊密,與特權相關的攻擊面正迅速擴大。攻擊者了解這一點,並以特權存取為目標。如今,將近100%的進階攻擊都通過竊取特權憑證,直擊目標:最敏感資料、應用程式及基礎設施。如果特權存取遭濫用,將足以擾亂業務運作。
涉及特權存取的著名資料外洩事件
過去十年曾發生無數與特權存取濫用相關的資料外洩事件。從Terry Childs、Edward Snowden、Yahoo! 和美國人事管理局的大規模資料外洩到孟加拉銀行的資料外洩事件、烏克蘭電網攻擊,甚至是廣為報導的Uber外洩事件,這些攻擊的共同點便是特權憑證被侵佔且用來計劃、協調及執行網路攻擊。
什麼是特權存取管理(PAM)?
組織實施特權存取管理(PAM)來防禦憑證竊盜及特權濫用所帶來的威脅。PAM是人員、流程與技術組成的全方位網路安全策略,用於控制、監管、保護及稽核整個企業IT環境下所有人類與非人類特權身份及活動。
有時被稱為特權身份管理(PIM)或特權存取安全(PAS)的特權存取管理以 最小特權原則為基礎,即用戶僅獲得執行其工作職能所需的最低存取級別。最小特權原則是網路安全公認的最佳實踐做法,也是保護特權存取高價值資料與資產的基本必要措施。強制執行最小特權原則,可讓組織減少攻擊面並降低惡意內部人員 或外部網路攻擊的風險,以免發生代價高昂的資料外洩。
特權存取管理的主要挑戰
組織在保護、控制及監管特權存取方面面臨諸多挑戰,包括:
- 管理帳號憑證: 許多IT組織都依靠人力密集、容易出錯的管理流程來輪換及更新特權憑證。這麼做效率不彰且昂貴。
- 追蹤特權活動:許多企業無法集中監管及控制特權連線,而使業務經營面臨資安威脅及違反合規的問題。
- 監控及分析威脅:許多組織缺乏全面性的威脅分析工具,無法主動識別可疑活動及補救資安事故。
- 控制特權用戶存取:組織經常難以有效控制特權用戶對雲端平台(基礎架構即服務和平台即服務)、軟體即服務(SaaS)應用程式、社交媒體等的存取,進而產生合規風險及操作問題。
- 保護Windows網域控制器:網路攻擊者可利用 Kerberos 身份驗證協定中的漏洞冒充授權用戶,並取得對關鍵IT資源及機密資料的存取權。
為什麼特權存取管理(PAM)對您的組織很重要?
- 人類用戶是最薄弱的環節。 從內部特權用戶濫用其存取級別到外部網路攻擊者鎖定用戶並竊取其特權,然後冒充「特權內部人員」暗地裡進行操作,人始終是網路安全鏈上最薄弱的一環。特權存取管理可協助組織確保人們只擁有執行工作所需的存取級別,還能夠讓安全團隊識別與特權濫用有關的惡意活動,並迅速採取行動彌補風險。
- 在數位業務領域,特權無處不在。 系統必須能夠互相存取及溝通,方可協力運作。隨著組織採用雲端、開發維運、機器人流程自動化、物聯網等,需要特權存取的機器及應用程式數量暴增,攻擊面也日益擴大。這些非人類實體的數量遠超過一個典型企業組織的員工人數,而且更難監控及管理,甚至根本無法識別。現成商規應用程式通常需要存取網路的各個部分,攻擊者便利用此機會乘虛而入。強大的特權存取管理策略可掌管特權位置 – 無論它們「生存」於本地端、雲端或混合環境,並偵測出異常活動的發生。
- 網路攻擊者以終端及工作站為目標。 在一家企業內,每一個終端(筆電、智慧型手機、平板電腦、桌上型電腦、伺服器等)都包含預設的特權。內建的管理員帳號 讓IT團隊可在本地解決問題,但也會帶來極大的風險。攻擊者可以侵用管理員帳號,然後從一個工作站跳到另一個工作站、竊取其他憑證、提升特權權限,並在網路上橫向移動,直到到達所需位置為止。積極主動的特權存取管理程式可全面移除工作站上的本地管理權限,以期降低風險。
- 特權存取管理是實現合規性的一大關鍵。 監控及偵測環境內可疑事件的能力非常重要,但若未具體聚焦於風險最大的因素 – 不受管理、監控及保護的特權存取–企業仍然不堪一擊。將特權存取管理納入全方位安全與風險管理策略,可讓企業組織記錄及登錄所有與關鍵IT基礎設施和敏感資訊相關的活動,進而協助他們簡化稽核及合規要求。
優先將特權存取管理程式納入其整體資安策略的組織可享受許多組織上的優勢,例如減輕安全風險及減少總體網路攻擊面、降低營運成本與複雜性、增強整個企業的可視性及狀況認知能力及改善監管合規性。
特權存取管理最佳實踐做法
以下步驟提供一個建立基本特權存取管理控制的框架,以加強組織的安全態勢。實施一個使用這些步驟的計劃可幫助組織在更短時間內降低風險、保護其品牌聲譽,並以更少的內部資源滿足安全與監管目標。
- 擊退不可逆的網路接管攻擊。隔離所有對網域控制器及其他Tier0和Tier1資產的特權存取權,並且需要多要素身份驗證。
- 控制及保護基礎結構帳號。 將所有眾人皆知的基礎設施帳號置於集中管理的數位金庫內。每次使用後定期自動輪換密碼。
- 限制橫向移動。 完全刪除IT Windows工作站本地管理員群組內的所有終端用戶,以防堵憑證竊盜。
- 保護第三方應用程式的憑證。 保管第三方應用程式使用的所有特權帳號,並移除商規現成應用程式的寫死憑證。
- 管理*NIX SSH密鑰。保管Linux和Unix生產伺服器上的所有SSH密鑰並定期輪換。
- 保護雲端及本地端的開發維運金鑰。 保護所有公共雲端特權帳號、密鑰及API密鑰。將CI/CD工具(例如Ansible、Jenkins和Docker)使用的所有憑證及金鑰置入安全的保管庫內,以方便即時擷取、自動輪換及管理。
- 保護SaaS管理員及特權業務用戶。隔離對共享ID的所有存取權,並需要多要素身份驗證。
- 投資於定期性的紅隊演習以測試防禦能力。 驗證及改進抵禦現實世界攻擊的有效性。
若要詳細瞭解這些最佳做法,請造訪此處。