全家就是他家？！駭客如入無人之境

　　2022年下旬的Uber遭駭事件受到外界無數關注，據調查推測一名約聘員工的帳密意外洩露，並且駭客在雙因子驗證機制下，嘗試多次後成功登入。雖然Uber官方聲稱機敏資料與核心系統皆無受到破壞及影響，但在傳出遭駭消息的隔天，來自市場的不信任讓Uber的股價直接跌了4%。

　　無論是人為保密疏失，或是資料庫部分資料外洩，一旦讓駭客取得帳密且盜用身分訪問企業內部系統，就像是易容後的武林高手橫空闖入，經由橫向移動、權限提升等行動，完全可以悄然無息地偷走機敏資料，等到事後發現資料外洩往往為時已晚，除了難以估計的營業損失，企業形象更是大受衝擊。（延伸閱讀：從個資到營業秘密 談資料外洩風險管理與處理）

最小特權原則為底 Who！When！What！3W管理

　　再強勁的資安防線終有百密一疏的可能，防禦最常見如勒索軟體、BEC等惡意攻擊之餘，為了杜絕駭客濫用特權帳號，資訊人員必須有效管理全公司的帳號與密碼，才能將風險降到最低。謹記「3W管理」原則，即使駭客獲取了帳密，也難以造成更進一步的危害。



Who－－這個帳號是誰要用？

　　建立帳號或增加權限前，務必驗證使用者的身分為合法且需要開設權限帳號的人員。舉例來說，在各地服務的維護工程師有各自負責的區域，從派工系統收取客戶報修資訊為其必要操作，但不需要給予客服系統的使用權限。

When－－這個帳號的使用期限？

　　執行臨時性或階段性任務時，會需要開設額外的特殊權限，應確認其使用期限，切記不可無限期開放特權。以門禁管制為例，原屬於A實驗室的員工短期支援B實驗室，在專案結束後應移除該員工進入B實驗室的權限。

What－－這個帳號可以存取什麼資料？

　　完善的系統會建立角色或群組等權限機制，將使用者分門別類，以利管理。須確認使用者的權責範圍，以「最小特權原則（PoLP）」為基礎，僅提供權責範圍內的使用權限。例如基層客服人員可調閱其負責接洽的會員資料及新增聯絡紀錄，不過修改機密資料、刪除聯絡紀錄等重大行為，通常只有客服主管權責以上，甚至是系統管理者的層級才可操作。

Log紀錄讓每一步都有跡可循 即時監控及時阻斷

　　企業內部系統不是志摩可以來去自如的康橋，別讓駭客輕輕地來，悄悄地走了！妥善建立操作軌跡紀錄日誌，對企業而言是百利而無一害。有關操作日誌建議紀錄以下項目，並可依照企業現況增減：

• 登入與登出時間
• 登入驗證成功與否
• 存取資源成功與否
• 重要行為
• 異動重要資料
• 操作功能錯誤
• 管理者行為

　　透過紀錄帳號的使用活動，在日常時期可以減少使用者操作不當而衍生權責不明的紛爭，更可提供資安人員進行追蹤與檢測異常行為，即時監控並告警，以利及時採取適當的措施，阻斷攻擊行為與駭客濫用特權帳號的情況。

帳密不只是一串數字 守護IT王國之鑰的責任重大

　　連Netflix都開始限縮共享帳號的使用，您還想與駭客共享一組帳號密碼嗎？尤其特權帳號好比為企業內部IT王國的關鍵金鑰，絕對不容輕忽，千萬別讓僥倖心態成為維護資通安全的最大敵人！

NG行為其一：記不住密碼 只好記在筆記本上

　　根據調查，每個人平均持有20組以上的帳密，並近年來仍持續增加。而不論是公司系統或個人使用的應用程式，每每忘記密碼皆需經過繁雜手續，才可重新獲得登入的機會。

　　總是記不住密碼怎麼辦？有些人會利用紙本、Line Keep或社交軟體私訊給自己等方式記錄，但要是筆記本不小心遺失或不慎被盜用社交軟體，您所深藏的祕密就被有心人士看光光了。

NG行為其二：方便當隨便 門戶大開向駭客招手

　　業務出門在外只能拿手機或筆電使用公司系統？下班回到家後也想連線公司系統自主加班？為因應諸如此類的例外辦公型態，有些不夠謹慎的資訊管理人員竟直接打開防火牆及相關設定，用外網或未經認證的裝置便可直通內部系統，破牆入侵根本不用吹灰之力，在駭客眼裡就像一隻不斷招手Say Hi的招財貓一樣。

NG行為其三：認為內網就是穩 反正外人進不來

　　內部系統限制了連線IP的來源，僅可在公司內網使用，從外而來的VPN連線也已受到授權管理，就算知道帳密也不能怎麼樣－－不，快拋開這種想法！只要連上網路，對駭客而言便是康莊大道，因此企業必須持續精進，員工也應審慎維護資通安全，否則不斷進步的駭客組織仍可找到陰暗的夾縫，趁機而入。

　　為了抵禦蓬勃發展的黑色產業鏈所帶來的資安衝擊，企業無不極力建置資通安全機制，以避免給予駭客與惡意程式入侵得利的機會。

　　而特權帳號管理也是必不可少的環節，需要企業與員工一同步步為營，方可守護公司的核心系統與機敏資料。

　　若您是上市上櫃公司，也應特別留意金管會在2021年底發布的「上市上櫃公司資通安全管控指引」，其中同樣提到了存取策略與帳號管理等合規條例：

• 訂定人員到職、在職、離職管理程序，管控帳號流向。
• 設置登入身分驗證、通行碼管理機制，並採取多重認證技術。
• 定期審查特權帳號、各使用者帳號之權限，久未使用的帳號應停用控管。
• 員工應簽署保密協議，負起保管帳密之責任。

　　（延伸閱讀：加速達標！上市上櫃公司資通安全管控指引實戰懶人包）

　　如果您已經充分了解未做好特權帳號管理的隱憂，正憂心忡忡……

• 企業一堆系統跟設備，設置眾多帳號，難以管理。
• 為達到合規配置，不知道如何加強企業內部帳號管理。

　　萬萬不可錯過07/13的線上活動！讓3W管理大法帶您飛～

【權限如何把關 給企業的3W管理大法！】馬上報名

時間：2023/07/13(四) 14:00

議題：權限策略與存取3W管理大法

　　　ERP系統身分認證新思維

講師：奔騰網路 邵浩榕 產品經理

　　　鼎新電腦 賴裕文 資深工程師

※ 封面圖源：photoAC