以最少的權限和應用程式控管來獲得安全和生產力

舉凡公司內部使用者,通常擁有"完全"的管理員權限,抑或"完全沒有"管理權限。因此,為求高生產力,業務和資訊管理員常常會擁有超過其所需的權限,因而形成廣大的攻擊面。而相反地,在移除管理權限以降低風險的過程中,同樣也滋生其他的問題。在此歸納如下:

面對的挑戰

一、具管理員權限的帳號群擴大了攻擊面—

因為這些帳號存在於運作環境中的每一個端點和伺服器上,而從安全的角度來看,擁有本機管理員權限的帳號經常是進階攻擊者的目標,若沒有受到適當的保護時便很容易被利用。另從業務活動的角度來看,擁有管理員權限但缺乏經驗的使用者經常會對機器造成意外損害,資訊管理團隊必須持續花費許多時間和精力處理不小心所造成的損壞以及搶救突發事件。無意或有意的行為,包含:

Acheiving Security and Usability1 1

二、在安全性和生產力找到平衡是困難的—

取消業務使用者的管理員權限雖是最好的安全措施,但他們就可能無法執行某些工作或使用所需的應用程式,而被迫請求服務支援。導致:

Acheiving Security and Usability1 2

三、太少的權限導致「權限蠕變」而增加風險—

當業務使用者權限被取消卻又須執行工作時,資訊管理員將不時須要重新給予權限,一旦權限被重新賦予就很少會有再收回的情形,如此經過一段時間後便會再次有許多使用者擁有本機管理員權限。這種「權限變」會開啟與過多管理權限相關的安全漏洞威脅。

Acheiving Security and Usability1 3

四、太多權限會增加來自內部人員和進階威脅的風險—

許多企業對於限制IT管理員的權限也有所考量,若是設定系統管理員、應用程式擁有者和資料庫管理員在每一個伺服器上都各自有存取權限,在實務上會導致IT管理員擁有比他們實際工作所需還要多出很多的權限。分割IT管理員的職責若沒有依據以角色為基準的授權政策,則會使得敏感系統容易造成以下狀況:

Acheiving Security and Usability1 4

五、在每一台機器上,必定有一個「最高階管理員」帳號—

就架構設計而言,每一個端點和伺服器都會有一個這樣的最高階管理員,其對本機擁有完整的管理控制權限。即使你已將管理員權限從個別使用者帳號中移除,卻依然存在。這些最高階管理員帳號的密碼管理政策若不完善,就可能導致相同密碼跨越多個系統重複使用,如此便會讓攻擊者在侵入一台機器之後可以輕易平行移動到整個運作環境 - 提升權限、竊取資料並一路損毀系統。

Acheiving Security and Usability1 5

六、儘管做了權限的限制,一些惡意軟體仍有辦法入侵—

企業雖然限制了權限,但不是所有惡意的應用程式都需要權限才可執行。研究顯示大多數進階攻擊都始於寄給無權限業務適用者的網路釣魚電子郵件,通常網路釣魚攻擊包括非常精密的惡意軟體,可在無需使用任何管理權限的情況下入侵機器、竊取資料、獲取憑證或損毀系統。

Acheiving Security and Usability1 6

七、要確實追蹤到系統環境中有哪些應用程式是很困難的-而要能夠知道哪些是好的、哪些是壞的應用程式就更困難了

Acheiving Security and Usability1 7

面對以上這些挑戰,企業應全面性思考:

讓我們提供具彈性的自動化管理工具,以最少權限和應用程式控管的獨特組合解決方案,可幫助組織減少攻擊面、抵禦已入侵的威脅並將潛在之進行中的攻擊警示及時提供安全小組,最重要的是,不會影響生產力或讓IT管理員疲於奔命。

 
Go to top