特权存取管理方案

特权用户是骇客APT行动中的标靶

不可否认，在每个企业及组织的IT环境中必然存在「特殊权限的帐号使用者(简称：特权用户」，例如负责IT网路系统的管理者。但以最近的几项重大信息安全事件都能够发现「鱼叉式攻击方式」，如2014年12月发生南韩核电厂被骇导致机密资料外泄，另2014年10月JPMorgan 也因电脑被骇，导致美国有史以来最大规模，达8300万笔的个资外泄来看，骇客仍然锁定取得系统最高管理权限之帐号/密码作为主要攻击目标。这类攻击方式锁定之对象并非一般个人，而是特定公司、组织之成员，故受窃之信息已非一般网路钓鱼所窃取之个人资料，而是其他高度敏感性资料(如智慧财产权及商业机密)，当然也包括这些特权用户的指挥控制能力，骇客以这些特权用户的身份能够方便且无所忌惮地取得机敏资料。因此，建置符合企业所需的特权管理系统成为企业首要的信息安全课题。
在目前的企业所处的IT环境中，IT部门对于系统的登入帐号及存取权限的管控，管理政策涵盖的范围大多针对一般的使用者，像是执行例行工作内容的公司内部员工，政策内容包含帐号命名方式、密码设定与变更原则、登入错误次数的锁定等。但是像系统管理者、网管人员、DBA、AP开发人员、及AP执行时的专用存取帐号等对于系统有高存取权限之帐号，因惧于设定过多管控政策时将造成管理上的不便，或是系统停摆，因此常常将特权帐号排除于管理政策之外，以例外方式管理。存取权限越大，对于系统所拥有的控制能力也越大。如果持有特权帐号人员对企业有不法之意图，企图利用特权身分帐号取得重要资料或是瘫痪系统，造成的伤害的后果将无法想像。

特权管理方案PIAM (Privileged Identity and Access Management)/PIM/PAM

特权管理方案是一种提升安全及管理效率的方式，除了可以减少特权使用者的安全风险外，重要的是可以符合法规遵循与稽核要求，同时保护了企业内的重要资料，尤其在今日越来越多且复杂的网路与系统环境下，能有效地让企业的投资极大化。特权管理方案导入的评估时建议分为「导入前」与「导入后」两个思考层面，作为先期评估的要项。

特权管理方案

• 特权身分管理

配合针对特权帐号的管理政策设定，采取零信任原则，以方便之介面(WEB UI连结过单一强化的安全系统作为存取之匣道，提供存取、连线、纪录与稽核等管理功能。

• 密码管理

可以消除共用密码的问题外，并可阻挠鱼叉式或APT类型的密码攻击。并可增进特权使用者与信息安全小组的生产力。提供A2A的密码管理能力，降低应用程式密码暴露的风险。并可与现有或外部加强的密码系统进行整合，保障现有的投资。

• 使用者监视与纪录

对于特权使用者连线内容进行全程侧录，并阻挡非允许之存取活动并提供SOC告警通知。侧录内容可以回播，并标示了违反存取政策之时间点以方便查询。

• 对于协力厂商(委外厂商)的存取管控

不管特权使用者来自何处，特权管理方案都提供了控制与监视功能，以单一管道，提供了更安全、严谨的连线存取方式。

解决方案: ANCHOR