什麼是未經授權的存取?
未經授權的存取(unauthorized access)是指個人或程式在未經所有者或管理員明確許可或未經合法驗證的情況下,檢視或使用應用程式、運算系統、網路或資源。未經授權的存取的後果各不相同,包括系統漏洞被利用、安全控制被繞過,或遭竊的認證被使用。未經授權的存取是一項嚴重的威脅,可能導致資料外洩(Data Breach)、敏感資訊遭到破壞,或服務中斷等情況。
未經授權的存取是如何發生的?
未經授權的存取可以透過多種方式發生,從利用系統安全基礎設施中的漏洞的高階技術手法,到誘騙粗心使用者洩露認證。威脅行為者取得未授權存取的手段五花八門,其中包括以下幾種狡猾的方式。
進階持續性威脅
進階持續性威脅 (APT , Advanced persistent threat) 是一種長期、精密且具針對性的惡意攻擊行動,目的是取得未經授權的存取權限。一旦攻擊者成功入侵系統,便會試圖長時間隱匿行蹤,直到發動主要攻擊為止。
進階持續性威脅通常針對擁有高價值資訊、資金或其他資產的組織為目標,其特點是具有高度執著性,即使達成初步目標後,仍持續利用目標。
暴力破解攻擊
暴力破解攻擊會利用過弱的認證。攻擊者使用自動化指令碼,快速嘗試大量使用者名稱與密碼組合,以找到容易猜到的認證。
認證洩漏
認證可能透過多種方式遭竊,包括網路釣魚(Phishing)、鍵盤側錄程式或進階持續性威脅 (APT)。此外,成批遭竊的認證甚至可以被購買。在這種情況下,一種稱為認證填充的對抗手法,會利用從某一平台竊取的使用者名稱與密碼,試圖在另一平台取得未經授權的存取權限。
跨網站指令碼攻擊 (Cross-site scripting, XSS)
攻擊者使用 Web 應用程式做為攻擊向量(Attack Vector),將惡意跨網站指令碼植入網頁。當毫無戒心的使用者與這些遭到入侵的網頁互動時,攻擊者便可劫持使用者的工作階段或竊取其驗證權杖。
利用軟體漏洞
另一種未經授權的存取的方法是利用軟體漏洞,例如過時或未修補的軟體。這些漏洞為攻擊者提供已知的弱點,可用來存取應用程式、作業系統或網路服務。
實體安全漏洞
雖然實體安全漏洞不如數位向量常見,但也被用來取得未經授權的存取。攻擊者利用對伺服器、網路裝置或其他關鍵基礎設施元件的實體接觸,來取得數位資產的存取權限。
權限提升
為了擴展存取權限,攻擊者通常會先取得低階權限的存取。一旦成功取得初步存取權限,便會利用該權限進行權限提升。
未經授權的存取並不總是來自組織外部。心懷不滿的員工或其他懷有惡意的內部人員可能會利用內部資訊來擴展其存取權限。
社交工程(Social Engineering)
攻擊者利用社交工程手法(例如網路釣魚、恐嚇軟體和水坑攻擊),操控組織內部人員洩露敏感資訊,或執行有助於未經授權的存取的行為。
SQL 注入攻擊(SQL injection attacks)
SQL 注入攻擊是一種網路攻擊(Cyber Attack)技術,攻擊者將惡意 SQL 程式碼注入 Web 應用程式的輸入欄位或資料輸入點。這些程式碼會操控 SQL 查詢,誘使應用程式執行非預期的指令。這可能導致未經授權的資料存取、資料被操控,甚至在目標作業系統上執行命令。
什麼是資料外洩?
資料外洩是一種涉及未經授權的存取的安全事件,會導致敏感和機密資訊被取得、遭到破壞、外洩、曝光或銷毀。資料外洩的來源多種多樣;常見的攻擊途徑包括惡意軟體(Malware)、網路釣魚攻擊,或利用軟體漏洞。
安全團隊和 IT 管理員透過實作與維護強穩的安全措施,在防止資料外洩方面扮演關鍵角色。全面瞭解資料外洩的運作方式、未經授權的存取方式及其後果,對於確保安全與 IT 團隊獲得適當資源以應對資料外洩至關重要。
資料外洩不僅會造成財務損失,還會損害組織的聲譽,甚至導致法律後果。除了防止未經授權的存取外,建立事件應變計畫也能強化對潛在資料外洩的韌性防禦能力。
防止未經授權的存取的最佳實務
以下最佳實務可大幅降低未經授權的存取的風險。這些實務有助於維持系統與資料的完整性、機密性與可用性。
- 存取控制
存取控制用於規範與管理使用者與數位系統的互動,確保使用者根據其角色與職責擁有適當的權限,同時防止未經授權的存取。它們可應用於多個層級,包括檔案系統、資料庫與網路資源。常見的技術包括網路存取控制清單 (ACL , Access-control list)、自主存取控制 (DAC , Discretionary Access Control)、強制存取控制 (MAC , Mandatory Access Control) 或角色型存取控制 (RBAC , Role-based Access Control)。 - 最小權限原則 (PoLP)
根據最小權限原則(PoLP , Principle of Least Privilege),使用者(即人類和機器)僅被授予執行其任務所需的最低存取權限。此舉可藉由縮小攻擊面(Attack Surface),將未經授權的存取的風險降至最低。 - 持續監控
強穩的網路和系統監控解決方案可以主動偵測異常與可疑活動,使用安全資訊和事件管理 (SIEM , Security Information and Event Management) 工具等解決方案,來彙整並分析日誌資料,以辨識未經授權的存取跡象。 - 加密(Encryption)
加密可應用於多個層面,包括靜態資料、傳輸中的資料,甚至在應用程式與資料庫內部,透過數學演算法將純文字資料轉換為密文,使其在沒有配對的解密金鑰的情況下無法讀取,並防止未經授權的存取。其他防止未授權的存取的加密應用還包括安全通訊通道(例如,用於網路流量的 HTTPS 和 SSL/TLS)、加密資料庫以及全磁碟加密。 - 安裝安全修補程式與更新
定期更新並安裝軟體修補程式(包括作業系統與應用程式),有助於防範攻擊者常利用的已知漏洞。 - 入侵偵測和防範系統 (IDS/IPS , Intrusion Detection System / Intrusion Prevention System)
組織部署 IDS/IPS 來監控網路流量中的可疑活動並阻止潛在威脅,並設定 IDS 以即時偵測並回應可能的安全事件。IDS 規則可以最佳化,以識別未經授權的存取企圖的行為模式。 - 分層式驗證
實施強式驗證,例如多因子驗證 (MFA , Multi-Factor Authentication)、生物識別輸入、硬體權杖或透過電子郵件或簡訊傳送的一次性驗證碼,以提供額外的安全保障,使網路攻擊者不易獲得未經授權的存取。此外,可以實作帳戶鎖定原則來緩解暴力破解攻擊。 - 網路分段(Network segmentation)
將網路劃分為多個區段,可以在發生安全漏洞時限制入侵者在系統中橫向移動的能力。 - 滲透測試 定期進行滲透測試有助於在攻擊者利用漏洞之前,先識別並修復漏洞。此外,透過模擬真實攻擊情境,來評估安全控制的有效性。
- 安全意識訓練
訓練有助於緩解最棘手的網路安全威脅之一:授權使用者。組織可以制定並推行持續的安全意識計畫,以教育使用者瞭解未經授權的存取的風險。透過定期安排訓練課程,幫助團隊成員學習辨別潛在的安全威脅(例如網路釣魚電子郵件),並遵循安全的線上實務。模擬釣魚攻擊演練則可測試,並提升使用者對社交工程攻擊的抵抗力。 - 強式密碼管理原則
要求使用複雜且唯一的密碼,可大幅降低透過暴力破解方式進行未經授權的存取風險。此外,要求使用者定期更新密碼並使用密碼管理工具,可以進一步強化網路防禦能力。大多數組織都會實施強式密碼原則,包括使用複雜密碼與定期變更密碼。
數位與實體安全控制有助於防止未經授權的存取
組織若能實作並維持強健的網路安全防護與威脅監控系統,將更能有效防止未經授權的存取。包括多因子驗證、強式密碼原則、定期軟體修補與更新、網路監控,以及嚴格的存取控制(例如遵循最小權限原則)等全面的分層方法,可以有效降低未經授權的存取的風險。
