根據Verizon發布資料外洩事件調查報告 (DBIR)，內部攻擊或威脅肯定是重要的因素之一，實際上，大約有30%的外洩是內部威脅。到目前為止，對組織的最大威脅仍然來自外部參與者。據去年的數據顯示，有70%的違規行為來自外部參與者。其中有1%涉及多方人馬，而且也有1%涉及第三方合作夥伴。

人們普遍認為內部人員是組織安全的最大威脅，這可能有點偏誤。誤以為來自特定來源威脅的「數量」，相等於這些威脅所帶來的安全衝擊「嚴重度」。因為一次內部威脅爆發，可能造成的危害是外部攻擊的十倍，還是要取決於事件的性質。

 

攻擊及威脅動機是什麼？ 

在絕大多數情況下的攻擊事件最大的動機是經濟利益，資訊安全從業人員並不會感到驚訝。除了對金錢報酬的需求外，還具有另一個有趣特點：攻擊者進行的攻擊，大多不會超過兩到三個步驟。如果需要更複雜的手法才能成功，可能會放棄尋找下一個目標；除非是為了更具規模或針對性的攻擊。

挑軟的柿子下手總比在堅固的目標上，投入過多時間和精神的成本要好得多。快速大規模的操作並使用自動瞄準和開發工具是一個正常的ROI選擇。身為捍衛者的策略是非常直接的，如果您保護好了城堡，並讓壞人努力成為白工，那麼絕大多數攻擊者會轉移到其他的目標上。

儘管財物可能是攻擊者最終真正想要的東西，但他們往往會想獲得更多其他收益。用戶憑據也是攻擊者的主要目標，除了直接存取寶藏之外；組織還可能被突破淪陷之後，成為通往另一個更有價值目標的墊腳石。對攻擊威脅者而言，真正有價值的可能是你的客戶，而不是你的組織。

 

邊境界線逐漸消失中 

傳統的資訊外洩防護方案，可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內，以往這也許是足夠的。但是，安全防護的邊界越來越不明顯，而且一旦使用超出邊界範圍，它的資訊安全政策就無法被落實。這意味著，現在的工作及供應商的合作方式，不再有明顯的界線可以分出信任區域。

 

COVID-19下遠距工作的安全疑慮

在疫情之下，各種規模的公司都受到一定程度打擊。對於期望維持業務連續性的現代組織來說，遠端工作已成為必需。遠端工作對資訊安全形成了獨特的挑戰，因為遠端工作環境通常沒辦法提供與辦公室相匹敵的保護措施。當員工在辦公室時，他們在預防性的安全控制層後面工作。雖然不完美，但在辦公室環境工作時不容易違反安全性規定。但是當設備離開組織IT邊境外圍，在遠程工作時將帶來新的風險，因此必須採取附加的安全保護策略。

轉移雲端平臺不是一個有沒有必要的問題，而是一個”什麼時候開始”的問題。遠端工作員工、供應商、客戶服務和策略夥伴合作的需求，只會加快推動雲端的使用。例如公司依賴於員工從其個人智慧手機，存取行動業務相關應用程式 （稱為自有設備或 BYOD）。此外，近四分之一的千禧代員工表示，他們會將公司檔案下載到這些設備上，並安裝了第三方雲端應用程式（私有雲或 BYOC），但沒有知會 IT 或資安人員；這代表企業並非能夠有效控制使用雲端的時間和方式。

但無論速度如何，傳統固定的安全政策都難以與跟上這工作需求。原因之一是雲應用程式供應商傾向於優先考慮方便性、可存取性和易用性，資料使用的安全性就不一定周密。他們專注於共同開發合作模式，用傳統方式保護基礎設施的安全，但讓用戶確保在基礎設施中共享的數據。這意味著，鑒於當今工作內容的變化、移動性，無論您的人員在哪裡，都有責任構建資料保護。

 

端點資料活動監控保護方案

長久以來資料安全與業務績效之間，在某些需求面存在矛盾。畢竟保持競爭優勢的最簡單方法，就是企業保有其”秘密配方”的能力。將內部重要資料無論是專有工序流程、關鍵智慧財產權，甚至是專利配方文件等，通通都保護在城牆之內，遠離街頭。

但這個問題要複雜得多。據估計世界上90%的數位資料是在短短兩年之內創造的；存取方式幾乎都是透過網路。跨組織合作使保護資料安全更加複雜，行動裝置、遠距工作的用戶端、供應商、承包商、內部遠端服務和漫遊員工等的激增，資料外洩事件可能性增高，對公司的品牌形象和客戶的信任感造成嚴重損害。長期以來，醫療和金融服務等受到嚴格監督的行業，一直受到主管機關當局法律規範，以確保機敏資料的安全。

內部威脅爆發，可能造成的危害比外部攻擊帶來的損害還要大。傳統的資訊外洩防護方案，可在資料儲存、使用、傳遞等三方面提供保護。如果存取的資料都可以保留在這些端點、邊境防火牆範圍內，以往這也許是足夠的。但是，安全防護的邊界越來越不明顯，而且一旦使用超出邊界範圍，它的資訊安全政策就無法被落實。這意味著，現在的工作及供應商的合作方式，不再有明顯的界線可以分出信任區域。

 

User Activity monitoring使用者活動控制與監視

X-FORT提供用戶追蹤端作業系統、使用者操作活動記錄，違反安全規定時予以阻擋控制。

使用者活動日誌

• 軟體執行記錄：記錄使用者執行軟體，或執行軟體視窗標題名稱變動。
• 網頁瀏覽記錄：使用瀏覽器IE, Chrome, FireFox, Edge時視窗標題變動，記錄視窗標題與網址。
• 檔案操作記錄：記錄透過檔案總管對檔案的操作細節，範圍包含本機檔案系統的建立、刪除、更名、移動、複製；存取網路芳鄰、外接式儲存裝置、 MTP裝置等。

作業系統相關記錄

• 作業系統活動記錄包含系統檔案名稱異動，記錄更名前後的相關資訊，系統檔案被刪除的事件記錄與備份被刪除的檔案。

帳號管理

• 管理用戶端的本機帳號，可新增、修改、刪除本機帳號，可啟用或停用本機帳號。

 

本機裝置控管(Host Device Control and Monitor)

• 控制本機所有連接裝置的使用
• 管理信任儲存裝置
• 管理儲存裝置存取方式，包含外接儲存裝置、燒錄器
• 控制列印裝置及列印行為，包含禁止列印、強制浮水印、暫時開放印表機；記錄及備份列印內容，備份列印檔案。

 

網路控管(Network Control and Monitor)

記錄與控制用戶端網路存取活動，包括共用資料夾控管、應用程式、網路連線、網站存取、檔案傳輸、電子郵件等。

 

應用程式控管(Application Control and Monitor)

用黑名單與白名單機制管理非授權的應用程式執行；以及保護資料夾被未經授權的程序存取。

軟體執行控管

• 提供軟體禁用功能外，控制軟體使用時段控管軟體只能在規定的時段內被使用，其他時間禁止使用。
• 被禁用的軟體，使用者無法自行安裝。使用者嘗試執行被禁止或非允許的軟體，留存記錄。

資料夾存取防護

• 限制異動副檔名：限制資料夾中特定副檔名的檔案（如*.exe）；該資料夾中新增、變更特定副檔名檔案。
• 應用程式白名單：用戶端特定資料夾允許「信任程式」存取檔案，防止其他程式存取，或檔案加入。保護資料不被惡意程式存取或竄改。
• 例外處理名單：在限制異動副檔名清單及應用程式白名單中，設定排除控管的例外名單。

 

稽核與分析(Audit and Event investigation)

記錄與資料整合分析

• 記錄查詢結果根據分權與管轄範圍，依登入的管理者身份，檢視管轄範圍內人員或電腦的記錄；不同管理者顯示不同結果。針對人員、日期等組合篩選條件，可指定欄位(如：記錄時間)順序排列，檢視多種類記錄或資料。

儀表板

• 自行組合多個小工具(Widget)在同一頁面，一次查看各種相關結果，即時掌握資安狀況。
• 管理者登入系統主頁，依管理角色的管轄範圍篩選結果，呈現特定儀表板。

 

端點事件偵測與反應(Endpoint Incident Detect and Response (EDR))

• 監視及偵測違規行為，主動反應控制風險。
• 用戶端自動反應包含螢幕浮水印、警示、限制網路傳輸、禁用隨身碟、禁用印表機等；管理者處置包含強制關機、遠端命令等。
• 記錄各種違規事件、反應動作與處置方式。

 

主動適應安全政策(Adaptive Policy )

解決靜態規則無法適當應對變動的環境，主動適應政策根據不同環境條件提前，建立不同對應行動計畫，可簡化團隊管理複雜度，並減低對使用者工作的干擾。安全政策依下列類型自動調整

• Role based(使用者)： 依登入使用者身分生效，在其他裝置上登入也具備相同政策。
• Location based(地理位置)： 所在地理區因基礎建設完善度不一，可能安全性不足等顧慮。
• Host based(電腦政策)：固定政策，不受登入使用者身分影響。
• Site Based (跨廠區工作)：受工作區管轄，配合當地的安全管理政策。
• Telework(遠距工作)：以公司裝置利用VPN 存取公司的服務、以自用裝置RDP 連入公司裝置、以公司裝置RDP 到另一台公司裝置。

在整個企業中，使用者依靠帳號和密碼來存取服務和管理設備。這些帳戶的安全性非常重要，保護特權帳戶存取更為重要。特權帳戶具有系統管理級別的存取權限，允許管理者對服務和設備進行設定變更。

在對密碼管理相關方面，特別是像 PAM (Privileged Access Management) 的系統，其安全需求是來自於組織中對所有不同帳戶和密碼管理的困難。通常情況下，環境中的密碼比人員數量多五倍或更高；當密碼未以適當方式管理或更替時，則容易造成洩漏的風險。IT 部門在建立密碼系統時，密碼通常無法或不允許以其他形式保存，或者它們可能永遠不會更替。而特權帳戶如果沒有得到適當的保護，組織很容易受到實質損害。

遠端工作與使用自帶裝置工作的興盛，都有可能讓存在於端點設備上的帳戶，完全脫離IT管理的掌控。再者，使用者設備也不在受保護的IT基礎環境之內，難以施以有效的控制管理。

除了管理特權帳戶的生命周期的問題，包括如何建立和更替密碼週期等；更要建立稽核追蹤，顯示哪些特權帳戶在什麼時候做了什麼事，還須提供在使用者工作階段加上多因子身份驗證 。

 

什麼是特權帳戶?與它們可能的潛在危險 

特權帳戶大致可分為七大類：

1. Local Administrative Accounts 本機系統管理員
   這些帳戶具有對本機作業系統重要服務或功能的管理權限。它們通常用於 IT 相關工作，如伺服器維護和資料庫管理。

2. Privileged User Accounts 特權使用者
   這些帳戶可以存取敏感資料和交易記錄，指派給組織內部分特定的人員，也被稱為”超級使用者”。

3. Domain Administrative Accounts 網域管理
   這些是管理組織專屬的帳戶類型。他們有權存取所有網域內的伺服器和工作站，可用於變更其他管理帳戶、使用者帳戶；以及變更伺服器和工作站設定。

4. Emergency Accounts 緊急帳戶
   這些是為在緊急情況下使用的fail-safe 帳戶，將非特權使用者帳戶提升到管理者權限，以解決系統問題或在反制攻擊，它們也被稱為break-glass和fire-call帳戶。

5. Service Accounts 系統服務
   這些是用於應用程式/服務與作業系統之間通信的特權網域和本機帳戶。它們操作複雜，幾乎永遠不會過期，因此造成潛在的危險。大多數組織對服務帳戶沒有任何有效稽核：組織可能沒察覺他們的存在，或者未分配置設定，暫停。帳戶可能是有效的，但從來沒有被使用過；密碼可能永遠不會過期，密碼強度不足或沒有密碼。這都可能被勒索軟體、惡意程式、非善意內部人員所利用。

6. Active Directory or Domain Service Accounts AD或網域服務帳戶
   這些帳戶將網域資源組織成邏輯層次結構，從而使組織內核心系統功能順利運作。

7. Application Accounts 應用程式帳戶
   這些帳戶用於管理應用程式的存取活動，包括執行批次作業和對資料庫的存取權限等。這些帳戶的密碼可能存於未加密的檔案中(如 ini, cfg 等)，或者以明文方式包含在程式碼(code, script, bat, shell ) 當中，因此容易被找出而形成重大風險。

 

特權帳戶管理的挑戰

然而組織是個活生生的實體，需要盡可能少的員工帳戶驗證與存取的阻礙。當密碼是人員數量的五倍時，管理存取權限似乎是一項非常令人沮喪的任務。

密碼驗證在安全上是出了名的不可靠。儘管多年來 IT 團隊都在盡最大努力推動密碼管理的最佳實務，但用戶可能選擇不安全的密碼，並在整個企業環境中重複使用密碼。畢竟人的記憶有限，個人可管理的密碼數量受到限制，這最終導致使用者驗證及存取控管出現安管上的缺口。

特權帳戶和普通帳戶之間的根本區別在於，特權帳戶比標準賬戶擁有更多更強的功能，需要加強安全與保護。

 

如何有效管理帳號與存取權限

強化特權帳戶管理（PAM）基本上需要嚴格的計劃和 IT 基礎設施來配合。它需要的安全控制，身分驗證，事件稽核、活動監視。不論是否有專屬PAM系統的情況下，以下是建議的實務做法：

強化密碼原則

強密碼原則是基本的網路存取安全要求，也是身分驗證的必要因子。特權帳戶必須定期更改密碼，並遵循密碼管理原則，不允許共用。有一些密碼管理工具，如LastPass，可以安全地儲存密碼並提供密碼強度分析。

存取權與權責分離

理想情況下，特權帳戶只應授予適當的人員。這就必須根據工作需要，將特權和職責義務分開指派。理想情況下，只有組織和部門內有限數量的特定人員才有權擁有特權帳戶。它還需要分離角色和功能，包括使用者讀取、寫入、編輯修改和執行檔案資料的權利等。職責角色和特權存取的分離或隔離，可防止人員超出存取範圍而違反安全規定；並確保事件調查的日誌完整性不受干擾。

系統隔離與網路隔離

系統隔離與網路隔離，基本上就是需要將它們像特權和職責分離，基於工作相關性和重要性而區隔開一樣。

監控和稽核特權存取活動

對資料的安全威脅之一是來自組織內的違規洩漏行為，通常是來自具有特權存取的人員。因此，有必要對特權存取活動監控 。除了監控和記錄特權活動外，還有必要透過端點的系統與人員活動記錄和螢幕截圖來稽核監視所有活動。

 

其他建議

在既有的監視及稽核的記錄前提下，進一步實施活動偵測和防止未經授權存取的控制作法。對於有特權帳戶的人員，利用活動記錄分析不正常活動也很重要，這將有助於建立修改對應的安全政策，或防止潛在攻擊發生。