果核「駭客資安論壇」，揭示特權帳號管理、App 風控的精進之道

2020/06/23

近年隨著國內外資安事件的層出不窮，形同上演了許多場次的震撼教育，因此多數人的資安意識已顯著提升，若以企業而論，防護的力道自然也有明顯增強；儘管如此，仍有一些可能釀成資安風險的破口，較容易為人所忽略。

有鑑於此，多年來致力深化資安服務能量的果核數位，日前透過線上舉辦「駭客資安論壇」，闡述一些相對被人輕忽的資安風險，期望引領聽眾提高警覺、並且知所防範。本次論壇涵蓋兩個場次，首先由果核技術顧問陳柏榮以「特權帳號─進入 IT 王國的鑰匙」為題發表演說，接著由果核資安顧問謝易致講述「風控─App 絕對領域」。

秉持最小授權原則，建立特權帳號安控措施

陳柏榮表示，不論外部攻擊者或內部惡意人員，想進入企業的 IT 王國，都需要持有特權帳號。通常特權帳號可分三大類，首先是「提權的個人帳號」、，即是被賦予一些特殊權利的個人帳號；其次為「共用的特權帳號」，有些系統與生俱來即具備此類帳號，如 Windows Administrator、UNIX root、Cisco Enable…等等；再者是「應用系統帳號」，並非為人所用，而是為應用程式所用，方便介接其他應用程式或資料庫。

「一般情況下，特權帳號數相對於員工數的比值，約是 3:1，」陳柏榮說，每位企業員工都可能需要存取 Windows、Linux、ERP 等眾多系統，平均一人就有 5~10 個帳號，為了滿足業務需求，這 5~10 個帳號裡頭，約有 3 個帶有特殊權利，此即為特權帳號。

特權帳號之所以重要，在於綁架勒索或駭客入侵的起手式皆是「提權」，而特權帳號正是達成此目標的關鍵途徑；惡意份子一旦掌握它，就不難進入受害者的核心系統、竊取智慧財產權。因此企業在努力建構對外邊界防禦層、對內威脅偵測層的同時，亦需在兩層之間打造另一個獨立 Security Layer，以落實特權帳號安全。

大量的特權帳號，主要散佈於各類業務應用系統、身份管理、IT 營運、資安、雲端服務，乃至於 DevOps 流程中。陳柏榮認為，企業須思考幾個重要課題，上述諸多領域的特殊帳號，是否都已受到有效管理？若不是，該怎麼去因應補強？他建議企業先執行一個標準化動作，把綁定在本機的個人特殊權限通通移除，規定未來一律要通過申請與覆核程序、才能獲取相關權利，而且此特權僅是暫時性的、用完即回收，整個使用過程都會予以即時監控、連線錄影。

更重要的觀念是「最小授權」，企業務必體認到，特權帳號並非暢行無阻的萬能鑰匙，使用範圍必須受到嚴格限制；不管任何人基於當下職務需求而申請特權帳號，也只需要滿足他最基本的權利即可，例如要執行 A 工作，完全不需要賦予 B、C、D…等其他權限，切忌便宜行事、一次打包提供過多權利，如此就能杜絕許多不必要的漏洞。

善用自適應架構，不斷檢測與修正 App 缺陷

謝易致指出，包括釣魚、軟體漏洞、消費者技術被利用、手機設備、員工被利用、操作技術等皆算是主流攻擊手段，但不論手法為何，最佳入口點都是手機設備。只要破解手機，藉此發動攻擊，要想獲取使用者資料並做後續套利，並非難事。

麻煩的是有一些現狀的存在，導致手機端防護多所不足，其中包括「過度依賴靜態防禦」，如混淆、SDK 檢測等皆屬靜態防禦；「強度無法量化」，開發團隊開發出產品後，不太可能攻擊、破解自己的產品，因而存在漏洞；「攻守對抗的目標不對稱」，無法掌握攻擊來源、使用哪些技術或攻擊目的，造成保護措施的偏差。

許多實例，都足以突顯手機 App 是釀成資安風險的破口。例知不少銀行的業務風控系統做得很好，但手機風控相對疲弱，故將網銀 App 放上軟體市集後，便無法掌握有無三方機構對 App 發動滲透測試；另外也有不法之徒利用網銀漏洞開立大量虛假帳戶，同樣蘊藏莫大風險。

謝易致認為，因應上述風險，大家不妨思考調整防禦策略。傳統防禦措施的成形，多是一步步往上疊加，例如培訓安全團隊、制定安全計畫、送交上級審核、開發、再次審核…等等，但大家可以逆向思考，既然最終目的都是取得「安全的數據反饋」、意即發佈 App 後遇到問題再回頭修復，何不省卻前面繁瑣步驟，等接受到反饋再做處理，豈不更簡單有效？他並強調，App 發佈後即不可控，舉凡 App 使用者日是真人或機器人、運行環境是真實手機或模擬器、客戶輸入的資料是否被監聽或側錄…等等，許多環節都值得深思。

欲化解上述難題，「自適應架構」（ASA）將是不錯的體系框架，只因它具備「安全強度可視化」、「安全防禦可循環」、「應急響應可處理」及「未知威脅可對應」等優勢，可透過持續不斷的安全檢測、動態分析，隨時探查有沒有人使用非正常手段（如模擬器、外掛程式、設備復用、注入攻擊等等）、運行環境是否安全，及是否出現 App 閃退，幫助業者了解 App 存在的問題點，接著加以開發、修復。

總括而論，舉凡特權帳號管理、App 風險控制，都是現階為多數人所忽略的議題，果核希望藉由「駭客資安論壇」喚起大家的憂患意識，趕緊亡羊補牢、有效修正這些安全缺失，讓駭客或內賊再無可乘之機。

iThome 報導連結: https://www.ithome.com.tw/pr/138392