[專訪]從特權帳號管理著手防堵機密資料外洩

2015 / 09 / 14

編輯部

為對抗駭客攻擊手法多變，多數企業在保護機密資料安全的前提下，資安人員早就添購多種資安設備，只不過全球各地依然持續發生各種資料外洩事件，根據資安公司研究報告顯示，有超過80%資料外洩事件都是從企業內部發生，僅有少數案例是駭客直接攻破資安防護網所致。換句話說，公司內部文件存取機制不夠嚴謹、特權帳號管理有缺點，才是造成商業機密、客戶資料外洩事件頻頻發生的主因。

特權帳號類型繁多，凡舉涵蓋伺服器主機帳號的管理者，資料庫管理者、虛擬化平台主機管理者、資安或網路設備權限管理者、雲端服務管理者、ERP等系統的最高管理者，以及粉絲團、社交媒體等，均處於特權帳號的一種。

達友科技副總經理林皇興說，現今特權帳號管理大致上可以分成四個不同階段，首先是由管理者各自保管的作法，多半是寫在紙上或者明碼檔案存放，常有不知還有誰知道密碼的問題。第二種作法，則是統一紀錄於 XLS格式的檔案，並且透過網路芳鄰分享，由於全IT部門都知道，所以一旦發生資料外洩事件，往往會導致缺乏可歸責性的狀況。

至於市面上常見第三種特權管理作法，則是封存實體保險箱之中，儘管作法較為嚴謹，但依然是仰賴人工流程管理，因此不僅容易出錯，密碼也不易定期更換。至於比較完善的特權管理作法，則是應該採取自動流程管理機制，藉由完整稽核紀錄、落實生命週期，達到保護特權帳號管理的目的。

滿足特權帳號管理需求達友科技推出ANCHOR解決方案

由於特權帳號擁有極大權限，可以合法存取公司內部各種資料，所以才會成為駭客組織鎖定的目標，因此如何建構一套完善特權帳號管理與使用辦法，已經成為資安人員必須要正視的工作。

一套完善的特權使用者帳號管理平台，應該要具備集中管理、存取控管、行為監控的功能，可協助企業降低因特殊權限帳號的違規使用以及駭客入侵而造成的資安事件，以此滿足資訊治理與法規遵循。

林皇興認為，資安人員對於特權帳號管理，通常有下列多種需求，分別是提供特權共用帳號、密碼的數位安全保管箱、連線階段的行為錄影紀錄與存取稽核紀錄、依角色特權帳號的細緻存取管控、簽核表單與簽核流程控管、Single-Sign-On 代登入(可隱藏真實特權密碼)、密碼驗證、密碼調和、雙因素或多因素強化身分認證能力等功能，才能應付複雜商業流程需求。

有鑑於此，達友科技推出ANCHOR解決方案，正是從企業需求進行研發，產品功能包含特權帳密管理、授權/存取管理、行為監控記錄等，其中特權帳密管理可以用來取代傳統拆信封、簽核流程、人員目錄整合、自動化重設密碼等工作。至於授權/存取管理，則能夠提供企業彈性授權規則，可針對不同使用者給予適合使用權限，如委外廠商存取控制、SSO/代登入、隱藏真實特權密碼等等。

另外，為能夠在發生資料外洩事件時，迅速找到問題根源，達友科技在ANCHOR解決方案中提供的行為監控記錄，則具備操作行為錄影、即時監看等功能，並且可提供倍速撥放、事中指令管控等，讓資訊人員能夠在外洩事件發生當下，立刻著手解決資安問題。

林皇興指出，儘管市面上也有不少類似產品，但ANCHOR是唯一能夠針對特權帳號管理提供完整應用功能的解決方案，能夠協助企業內部的特權帳號，做到自動化盤點、納管、帳號取出簽核流程、SSO代登入、連線階段的錄影、稽核紀錄等功能，堪稱是完善資安治理的一塊拼圖。

達友科技特權管理