近年來工廠廠區遭受攻擊的事件頻傳,但不論攻擊者由何種管道入侵,最終目的仍在於取得高權限帳號以竊取資料或執行加密勒索,對此正可借重CyberArk特權帳號控管能力來協助防範。
透過CyberArk Vault建立金鑰保存區,搭配特權連線管理員(PSM)機制,在登入者取得高權限後,詳加記錄完整軌跡,再以加密方式保存於金鑰保存區,確保不被竄改或遭抹除。
CyberArk大中華區技術顧問黃開印指出,製造業的IT與工廠廠區網路互通,彼此交換資料以及蒐集大數據運行分析,更有愈來愈多企業希望運用雲端平台的高運算與彈性擴充能力,進行資料分析。隨著COVID-19疫情後,居家辦公的工作模式成為常態,員工基於各式裝置遠端登入企業內網,使得資安風險攀升,攻擊者只要鎖定目標,藉由供應鏈為跳板即可滲透入侵。
應用場域的資訊系統透過TCP/IP標準通訊協定即可互通,以進行交換資料或彙整到分析平台,但同時也讓攻擊者有機可趁,例如在Windows作業系統啟動階段,須呼叫核心程式,便可利用lsass.exe處理程序啟動惡意程式碼。就整起狙殺鏈攻擊活動來看,提高管理權限是在滲透成功後進行,CyberArk提供的技術則可阻斷此環節,讓攻擊活動無法在內部擴散。
黃開印說明,所謂的特權帳號,也就是作業系統中預設的管理者角色與群組,只要一般用戶加入該群組,隨即繼承管理者的權限,一旦攻擊者成功滲透到終端,就會隨即把自己的帳號加入管理者群組,擁有特權後便可開始探查機敏資料或憑證,橫向移動到其他電腦。若能在此階段予以攔阻,可減緩攻擊活動擴散速度,讓IT管理者有時間發現並處理問題。
透過CyberArk EPM(Endpoint Privilege Management)控管,便可落實資安管理辦法中定義,亦即一般用戶帳號登入系統,在處理公務需要高權限時,須通過事先設定白名單比對,以確保提高權限者的身份不被盜用;另一種方式是針對共用帳號,例如作業系統預設的Administrator、Root帳號,定期更換密碼並保留所有執行操作的軌跡,萬一發生資安事件時即可追查肇事者。
CyberArk大中華區技術顧問黃開印建議,工廠廠區的老舊系統前端可整合CyberArk API,呼叫存放在CyberArk Vault的資料庫帳密,運用自動化工具預先整合,以動態取得最新登入密碼確保安全性。
為了避免委外廠商採用不安全電腦進行遠端連線,CyberArk Alero雲端服務搭配地端部署的Alero Connector,可讓用戶在任何地點基於瀏覽器方式登入,讓VPN連線機制改為透過CyberArk雲端服務進行認證,同樣可執行如同VPN登入後的工作。 針對存取需求,CyberArk Vault可集中保存金鑰,動態配置新密碼,既保障安全,也不影響服務正常運行。