果核「駭客資安論壇」,揭示特權帳號管理、App 風控的精進之道

2020/06/23

近年隨著國內外資安事件的層出不窮,形同上演了許多場次的震撼教育,因此多數人的資安意識已顯著提升,若以企業而論,防護的力道自然也有明顯增強;儘管如此,仍有一些可能釀成資安風險的破口,較容易為人所忽略。

有鑑於此,多年來致力深化資安服務能量的果核數位,日前透過線上舉辦「駭客資安論壇」,闡述一些相對被人輕忽的資安風險,期望引領聽眾提高警覺、並且知所防範。本次論壇涵蓋兩個場次,首先由果核技術顧問陳柏榮以「特權帳號─進入 IT 王國的鑰匙」為題發表演說,接著由果核資安顧問謝易致講述「風控─App 絕對領域」。

秉持最小授權原則,建立特權帳號安控措施

陳柏榮表示,不論外部攻擊者或內部惡意人員,想進入企業的 IT 王國,都需要持有特權帳號。通常特權帳號可分三大類,首先是「提權的個人帳號」、,即是被賦予一些特殊權利的個人帳號;其次為「共用的特權帳號」,有些系統與生俱來即具備此類帳號,如 Windows Administrator、UNIX root、Cisco Enable…等等;再者是「應用系統帳號」,並非為人所用,而是為應用程式所用,方便介接其他應用程式或資料庫。

「一般情況下,特權帳號數相對於員工數的比值,約是 3:1,」陳柏榮說,每位企業員工都可能需要存取 Windows、Linux、ERP 等眾多系統,平均一人就有 5~10 個帳號,為了滿足業務需求,這 5~10 個帳號裡頭,約有 3 個帶有特殊權利,此即為特權帳號。

特權帳號之所以重要,在於綁架勒索或駭客入侵的起手式皆是「提權」,而特權帳號正是達成此目標的關鍵途徑;惡意份子一旦掌握它,就不難進入受害者的核心系統、竊取智慧財產權。因此企業在努力建構對外邊界防禦層、對內威脅偵測層的同時,亦需在兩層之間打造另一個獨立 Security Layer,以落實特權帳號安全。

大量的特權帳號,主要散佈於各類業務應用系統、身份管理、IT 營運、資安、雲端服務,乃至於 DevOps 流程中。陳柏榮認為,企業須思考幾個重要課題,上述諸多領域的特殊帳號,是否都已受到有效管理?若不是,該怎麼去因應補強?他建議企業先執行一個標準化動作,把綁定在本機的個人特殊權限通通移除,規定未來一律要通過申請與覆核程序、才能獲取相關權利,而且此特權僅是暫時性的、用完即回收,整個使用過程都會予以即時監控、連線錄影。

更重要的觀念是「最小授權」,企業務必體認到,特權帳號並非暢行無阻的萬能鑰匙,使用範圍必須受到嚴格限制;不管任何人基於當下職務需求而申請特權帳號,也只需要滿足他最基本的權利即可,例如要執行 A 工作,完全不需要賦予 B、C、D…等其他權限,切忌便宜行事、一次打包提供過多權利,如此就能杜絕許多不必要的漏洞。

善用自適應架構,不斷檢測與修正 App 缺陷

謝易致指出,包括釣魚、軟體漏洞、消費者技術被利用、手機設備、員工被利用、操作技術等皆算是主流攻擊手段,但不論手法為何,最佳入口點都是手機設備。只要破解手機,藉此發動攻擊,要想獲取使用者資料並做後續套利,並非難事。

麻煩的是有一些現狀的存在,導致手機端防護多所不足,其中包括「過度依賴靜態防禦」,如混淆、SDK 檢測等皆屬靜態防禦;「強度無法量化」,開發團隊開發出產品後,不太可能攻擊、破解自己的產品,因而存在漏洞;「攻守對抗的目標不對稱」,無法掌握攻擊來源、使用哪些技術或攻擊目的,造成保護措施的偏差。

許多實例,都足以突顯手機 App 是釀成資安風險的破口。例知不少銀行的業務風控系統做得很好,但手機風控相對疲弱,故將網銀 App 放上軟體市集後,便無法掌握有無三方機構對 App 發動滲透測試;另外也有不法之徒利用網銀漏洞開立大量虛假帳戶,同樣蘊藏莫大風險。

謝易致認為,因應上述風險,大家不妨思考調整防禦策略。傳統防禦措施的成形,多是一步步往上疊加,例如培訓安全團隊、制定安全計畫、送交上級審核、開發、再次審核…等等,但大家可以逆向思考,既然最終目的都是取得「安全的數據反饋」、意即發佈 App 後遇到問題再回頭修復,何不省卻前面繁瑣步驟,等接受到反饋再做處理,豈不更簡單有效?他並強調,App 發佈後即不可控,舉凡 App 使用者日是真人或機器人、運行環境是真實手機或模擬器、客戶輸入的資料是否被監聽或側錄…等等,許多環節都值得深思。

欲化解上述難題,「自適應架構」(ASA)將是不錯的體系框架,只因它具備「安全強度可視化」、「安全防禦可循環」、「應急響應可處理」及「未知威脅可對應」等優勢,可透過持續不斷的安全檢測、動態分析,隨時探查有沒有人使用非正常手段(如模擬器、外掛程式、設備復用、注入攻擊等等)、運行環境是否安全,及是否出現 App 閃退,幫助業者了解 App 存在的問題點,接著加以開發、修復。

總括而論,舉凡特權帳號管理、App 風險控制,都是現階為多數人所忽略的議題,果核希望藉由「駭客資安論壇」喚起大家的憂患意識,趕緊亡羊補牢、有效修正這些安全缺失,讓駭客或內賊再無可乘之機。


iThome 報導連結: https://www.ithome.com.tw/pr/138392



其他動態