• vincenthsieh

特權帳號的的隱患



因應數位化的浪潮,如何在網路上擁有更加安全及便利的身分確認將是未來發展的方向,目前新推出的行動裝置皆配備生物識別設備,因此越來越多機構也導入生物辨識作為身分確認的機制,但發展生物特徵識別非常仰賴軟硬體的保密性, 一旦資料外洩便可能讓個人特徵被偽冒。

另外在資訊與系統的存取控管上面,除了需要考量「流程」、「技術」之外,「人員」更是關鍵的環節,尤其在資安戰的攻防裡,攻擊層面已不只系統上的破解,在典型機關單位中,特權帳號是通往一個機構最重要資產的出入口,更多的攻擊是針對特定人員實施有目的性的情蒐以及滲透,一旦成功,極可能連帶影響機密公文系統、重要處所的通行等權限都將被入侵及竊取,因而使用者方面的配合落實,將會是強化資訊安全的重要關鍵。

從安全性與方便性取得特權帳戶的平衡


針對特定特權帳戶人士的目標性攻擊,往往一絲細節都不容許輕忽,透過移除使用者的本地管理者權限來限制存取,結合硬體身分安全卡片來建立特權用戶個人責任制,將減少特權帳戶分布在系統上不易控管的問題。


而在我方硬體身分安全卡片的方案中,將身份認證協定結合搭載了具有 CC EAL 5+ 認證的安全晶片,從硬體提供最堅實的安全信任基礎 (root of trust),使用憑證簽章的技術可安全傳遞訊息,減少資訊外洩的風險,並透過以電子紙顯示器、物理性的確認按鈕、以及可選的生物辨識模組,來加強多維度的身分辯證,確保用戶對身分資產有100% 的控制權。

再者,硬體身分安全卡片這種具有特定功能的迷你電腦,它系統比較單純,卡片上的軟硬體元件都是可控、可信任的,且卡片被設計成只能專精做特定任務,同樣避免植入第三方程式造成帳號釣魚的風險。

舉例來說,像智慧型手機、個人電腦等環境,他們同時可以執行很多來自第三方、甚至是不確定來源的程式,這種情況下面臨的安全威脅非常大。而SecID有額外 I/O 的高安全級別的智慧卡,那它就可以用來提高手機的安全性。透過在外部的安全設備 (SecID) 對重要操作進行多因子驗證確認。就算攻擊者已經完全入侵並控制被害人的手機/電腦,攻擊者也無法入侵卡片,以此提高機構系統的安全性。

而當身分被嚴加保護後,延伸的是空間的安全議題同樣需要被重視。

以往門禁多透過保全以及監控設備進行即時性的發布提醒,近年多採用生物辨識特徵的門禁系統,採用臉部辨識的生物特徵,作為門禁管理上的身分認證一環。然而在此架構上不僅涉及人力管理以及投入,並面對日新月異的資訊攻擊,系統架構若無即時更新,反而成了攻擊弱點。

當委外進行資安維運及保全巡檢為企業常態,然而委外人力多採排班巡點,而當機構人員無法有效辯證委外人力的身分,此部分反而成了針對性潛入的風險因子。

因而我方在空間管理系統的設計上,將門禁、會員以及訪客管理等影響維安的關鍵功能,運用區塊鏈系統中紀錄不可竄改的特性,由系統進行管理及驗證,並透過最低管理人力來進行遵行存取權限最小化原則,以此加強了數位證據的保存以及減少人為錯誤機率。



同樣的,管理者帳號、委外的人力身分驗證均可結合硬體身分安全卡片的身分,透過註冊過的唯一性SecID完全掌控自己的數位身分資訊擁有自我所有權 (self-ownership),當進行特定的存取授權限制時,可結合可選的生物辨識來即時驗證身分的真實性。

資安即是國安,新型態的戰爭中,無實體攻擊所造成的破壞遠遠超過傳統實體攻擊所造成的破壞。而面對各式威脅,資安已不是單純系統的防護,更重要的是建立起風險管理的概念,找出整個環境中最應該保護的核心系統,並經由管理的強化和新技術的導入,而將風險降到最低,讓受保護的標的在完整性、可用性,和機密性的考量下,能維持正常地運作,在受到入侵時即能正確感知,同時更進一步地化為主動防禦。這也是我們Chelpis 池安科技一直在努力的方向。

Copyright © 2020 Chelpis Co., Ltd. All rights reserved.