[资安人专访] 从特权帐号管理著手 防堵机密资料外泄

[资安人专访] 从特权帐号管理著手 防堵机密资料外泄

资安人编辑部 -09/14/2015

为对抗骇客攻击手法多变，多数企业在保护机密资料安全的前提下，资安人员早就添购多种信息安全设备，只不过全球各地依然持续发生各种资料外泄事件，根据信息安全公司研究报告显示，有超过80%资料外泄事件都是从企业内部发生，仅有少数案例是骇客直接攻破信息安全防护网所致。换句话说，公司内部文件存取机制不够严谨、特权帐号管理有缺点，才是造成商业机密、客户资料外泄事件频频发生的主因。 

特权帐号类型繁多，凡举涵盖伺服器主机帐号的管理者，资料库管理者、虚拟化平台主机管理者、信息安全或网路设备权限管理者、云端服务管理者、ERP等系统的最高管理者，以及粉丝团、社交媒体等，均处于特权帐号的一种。 

 达友科技副总经理林皇兴说，现今特权帐号管理大致上可以分成四个不同阶段，首先是由管理者各自保管的作法，多半是写在纸上或者明码档案存放，常有不知还有谁知道密码的问题。第二种作法，则是统一纪录于 XLS格式的档案，并且透过网路芳邻分享，由于全IT部门都知道，所以一旦发生资料外泄事件，往往会导致缺乏可归责性的状况。 

至于市面上常见第三种特权管理作法，则是封存实体保险箱之中，尽管作法较为严谨，但依然是仰赖人工流程管理，因此不仅容易出错，密码也不易定期更换。至于比较完善的特权管理作法，则是应该采取自动流程管理机制，藉由完整稽核纪录、落实生命周期，达到保护特权帐号管理的目的。 

满足特权帐号管理需求 达友科技推出ANCHOR解决方案 

由于特权帐号拥有极大权限，可以合法存取公司内部各种资料，所以才会成为骇客组织锁定的目标，因此如何建构一套完善特权帐号管理与使用办法，已经成为资安人员必须要正视的工作。 

一套完善的特权使用者帐号管理平台，应该要具备集中管理、存取控管、行为监控的功能，可协助企业降低因特殊权限帐号的违规使用 以及骇客入侵而造成的信息安全事件， 以此满足信息治理与法规遵循。 

林皇兴认为，资安人员对于特权帐号管理，通常有下列多种需求，分别是提供特权共用帐号、密码的数位安全保管箱、连线阶段的行为录影纪录与存取稽核纪录、依角色特权帐号的细致存取管控、签核表单与签核流程控管、Single-Sign-On 代登入(可隐藏真实特权密码)、密码验证、密码调和、双因素或多因素强化身分认证能力等功能，才能应付复杂商业流程需求。 

有鉴于此，达友科技推出ANCHOR解决方案，正是从企业需求进行研发，产品功能包含特权帐密管理、授权/存取管理、行为监控记录等，其中特权帐密管理可以用来取代传统拆信封、签核流程、人员目录整合、自动化重设密码等工作。至于授权/存取管理，则能够提供企业弹性授权规则，可针对不同使用者给予适合使用权限，如委外厂商存取控制、SSO/代登入、隐藏真实特权密码等等。 

另外，为能够在发生资料外泄事件时，迅速找到问题根源，达友科技在ANCHOR解决方案中提供的行为监控记录，则具备操作行为录影、即时监看等功能，并且可提供倍速拨放、事中指令管控等，让信息人员能够在外泄事件发生当下，立刻著手解决信息安全问题。 

林皇兴指出，尽管市面上也有不少类似产品，但ANCHOR是唯一能够针对特权帐号管理提供完整应用功能的解决方案，能够协助企业内部的特权帐号，做到自动化盘点、纳管、帐号取出签核流程、SSO代登入、连线阶段的录影、稽核纪录等功能，堪称是完善信息安全治理的一块拼图。 


原文网址: [专访]从特权帐号管理著手 防堵机密资料外泄,Information Security 资安人科技网 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=8167#ixzz3mjaj9VF2