You are currently viewing 3W管理法是什麼?一起杜絕駭客共享特權帳號

3W管理法是什麼?一起杜絕駭客共享特權帳號

ChatGPT等跨時代產物的誕生,讓人們切身體認到科技發展神速,不禁想像隨著時代更迭,未來的生活樣貌將會是如何令人嚮往?身處時代浪尖上的企業大多不避諱擁抱科技,自動化、資訊化的推進在在提升業務執行效率,間接降低了許多機會成本。

因此,企業內部建置了一個又一個管理系統,物聯網的機台、設備也持續導入,但您有想過每天上班時開啟的登入頁面,也會成為一道資安破口嗎?

全家就是他家?!駭客掌握特權帳號如入無人之境

2022年下旬的Uber遭駭事件受到外界無數關注,據調查推測一名約聘員工的帳密意外洩露,並且駭客在雙因子驗證機制下,嘗試多次後成功登入。雖然Uber官方聲稱機敏資料與核心系統皆無受到破壞及影響,但在傳出遭駭消息的隔天,來自市場的不信任讓Uber的股價直接跌了4%。

無論是人為保密疏失,或是資料庫部分資料外洩,一旦讓駭客取得帳密且盜用身分訪問企業內部系統,就像是易容後的武林高手橫空闖入,經由橫向移動、權限提升等行動,完全可以悄然無息地偷走機敏資料,等到事後發現資料外洩往往為時已晚,除了難以估計的營業損失,企業形象更是大受衝擊。(延伸閱讀:從個資到營業秘密 談資料外洩風險管理與處理

最小特權原則為底 用3W大法管理帳號

再強勁的資安防線終有百密一疏的可能,防禦最常見如勒索軟體、BEC等惡意攻擊之餘,為了杜絕駭客濫用特權帳號,資訊人員必須有效管理全公司的帳號與密碼,才能將風險降到最低。謹記「3W管理」原則,即使駭客獲取了帳密,也難以造成更進一步的危害。

Who--這個帳號是誰要用?

建立帳號或增加權限前,務必驗證使用者的身分為合法且需要開設權限帳號的人員。舉例來說,在各地服務的維護工程師有各自負責的區域,從派工系統收取客戶報修資訊為其必要操作,但不需要給予客服系統的使用權限。

When--這個帳號的使用期限?

執行臨時性或階段性任務時,會需要開設額外的特殊權限,應確認其使用期限,切記不可無限期開放特權。以門禁管制為例,原屬於A實驗室的員工短期支援B實驗室,在專案結束後應移除該員工進入B實驗室的權限。

What--這個帳號可以存取什麼資料?

完善的系統會建立角色或群組等權限機制,將使用者分門別類,以利管理。須確認使用者的權責範圍,以「最小特權原則(PoLP)」為基礎,僅提供權責範圍內的使用權限。例如基層客服人員可調閱其負責接洽的會員資料及新增聯絡紀錄,不過修改機密資料、刪除聯絡紀錄等重大行為,通常只有客服主管權責以上,甚至是系統管理者的層級才可操作。

>>>立即阻止駭客濫用帳號特權>>>

Log紀錄管理 即時監控及時阻斷特權帳號的濫用

企業內部系統不是志摩可以來去自如的康橋,別讓駭客輕輕地來,悄悄地走了!妥善建立操作軌跡紀錄日誌,對企業而言是百利而無一害。有關操作日誌建議紀錄以下項目,並可依照企業現況增減:

  • 登入與登出時間
  • 登入驗證成功與否
  • 存取資源成功與否
  • 重要行為
  • 異動重要資料
  • 操作功能錯誤
  • 管理者行為

透過紀錄帳號的使用活動,在日常時期可以減少使用者操作不當而衍生權責不明的紛爭,更可提供資安人員進行追蹤與檢測異常行為,即時監控並告警,以利及時採取適當的措施,阻斷攻擊行為與駭客濫用特權帳號的情況。

守護IT王國之鑰 特權帳號不只是一串數字

連Netflix都開始限縮共享帳號的使用,您還想與駭客共享一組帳號密碼嗎?尤其特權帳號好比為企業內部IT王國的關鍵金鑰,絕對不容輕忽,千萬別讓僥倖心態成為維護資通安全的最大敵人!

NG行為其一:記不住密碼 只好記在筆記本上

根據調查,每個人平均持有20組以上的帳密,並近年來仍持續增加。而不論是公司系統或個人使用的應用程式,每每忘記密碼皆需經過繁雜手續,才可重新獲得登入的機會。

總是記不住密碼怎麼辦?有些人會利用紙本、Line Keep或社交軟體私訊給自己等方式記錄,但要是筆記本不小心遺失或不慎被盜用社交軟體,您所深藏的祕密就被有心人士看光光了。

NG行為其二:方便當隨便 門戶大開向駭客招手

業務出門在外只能拿手機或筆電使用公司系統?下班回到家後也想連線公司系統自主加班?為因應諸如此類的例外辦公型態,有些不夠謹慎的資訊管理人員竟直接打開防火牆及相關設定,用外網或未經認證的裝置便可直通內部系統,破牆入侵根本不用吹灰之力,在駭客眼裡就像一隻不斷招手Say Hi的招財貓一樣。

NG行為其三:認為內網就是穩 反正外人進不來

內部系統限制了連線IP的來源,僅可在公司內網使用,從外而來的VPN連線也已受到授權管理,就算知道帳密也不能怎麼樣--不,快拋開這種想法!只要連上網路,對駭客而言便是康莊大道,因此企業必須持續精進,員工也應審慎維護資通安全,否則不斷進步的駭客組織仍可找到陰暗的夾縫,趁機而入。

為了抵禦蓬勃發展的黑色產業鏈所帶來的資安衝擊,企業無不極力建置資通安全機制,以避免給予駭客與惡意程式入侵得利的機會。

而特權帳號管理也是必不可少的環節,需要企業與員工一同步步為營,方可守護公司的核心系統與機敏資料。

如果您已經充分了解未做好特權帳號管理的隱憂,正憂心忡忡……

  • 企業一堆系統跟設備,設置眾多帳號,難以管理。
  • 為達到合規配置,不知道如何加強企業內部帳號管理。

萬萬不可錯過07/13的線上活動!讓3W管理大法帶您飛~

【權限如何把關 給企業的3W管理大法!】馬上報名


特權帳號

Tags: , , ,