在愈來愈激烈的資安攻防中,面對防守愈趨嚴格的企業資訊環境,入侵方始終握有一項秘密武器—即「特權帳號的密碼」,不論入侵方式為何,特權帳號密碼的取得與控制一定是攻、防雙方必守的咽喉之地,事實上我們也看到幾乎所有的入侵事件,都包括了特權帳號與密碼失守的情況,而特權帳號的保護最基本的底線就是保護其密碼。
※針對兵家必爭之地的守備,力悅資訊提供企業最基本的實作方式:
|
編號 |
現況問題 |
管理與符規需求 |
產品相應功能 |
|
1. |
清查並減少組織內的特權帳號數量 |
了解並找到環境中特權帳號數量與存在位置,是評估風險與保護的第一步。清查完成後,並須進一步審核該帳號是否必須存在,並清除不需要的帳號,來減低入侵者可攻擊的點。 |
CyberArk-DNA |
|
2. |
禁止一般用戶具備特權存取權限 |
分隔一般帳號與管理員帳號,將可讓企業得以找出濫用、誤用的特權存取。實施最小權限,這一簡單的作法將是提升企業資訊安全的一大步。 |
CyberArk-EPM |
|
3. |
建立取得特權存取密碼的管制流程 |
員工必須了解取得特權而來的責任,並在給予特權存取前先施以適當教育訓練。特權存取紀錄必須定時查核,以確保該存取是否適當與需要。當人員異動時,應關閉該員的權限,並同時變更該特權帳號密碼。 |
CyberArk-EPV |
|
4. |
禁用密碼永遠有效政策 |
密碼必須定期變更以避免破解工具,或員工間相互分享特權密碼。 |
CyberArk-EPV |
|
5. |
安全存放特權密碼 |
嚴格禁止將密碼存放於信封、Excel檔案、便利貼等不安全的地方。建議使用加密的系統保護,或使用人員前、後段密碼分持的方式來作控制。 |
CyberArk-EPV |
|
6. |
特權密碼取用的可究責性 |
共用的特權帳號與密碼不應存在於環境中,如果無法確實施行,企業須具備充份的能力來作好稽核軌跡。 |
CyberArk-EPV + PSM |
■如欲事先瞭解更多,請點選以下連結下載—「CyerArk全產品介紹 特權帳號安全解決⽅案」:
http://www.cyberview.com.tw/book_list_f1.php?goodId=18
