文章

什麼是特殊權限存取管理 (PAM)?

特殊權限存取管理 (Privileged access management, PAM) 用於控制系統與資料的使用,以保護資源免受威脅。特殊權限存取管理結合人員、流程與技術,能夠掌握具特殊權限使用者(例如 IT 與安全管理員、人力資源 (HR) 專員及高階主管)在存取受限資源時的行為。特殊權限存取管理還可以確保擁有較高等級權限的使用者能夠取得所需資源,並防止存取權限濫用並封鎖未經授權的存取。

此外,特殊權限存取管理透過實施最小權限原則(PoLP , principle of least privilege),幫助 IT 團隊適度調整較高等級的權限。這有助於組織將能夠存取敏感資源的使用者、帳戶、應用程式、系統、裝置(例如物聯網 (IoT , Internet of Things))及運算程序,限制在執行指派任務所需的最小權限範圍內,進而降低攻擊面(Attack Surface)

什麼是特殊權限?它們是如何建立的?

在企業 IT 領域中,特殊權限是指授予運算系統或網路中身分、帳戶或程序的權限,這些特殊權限高於一般使用者所擁有的存取權限。特殊權限存取管理用於提供授權使用者較高的存取權限,使其能執行多項受限功能,例如:

  • 存取敏感資料或資源
  • 設定網路或系統
  • 載入裝置驅動程式
  • 開啟或關閉連接埠
  • 覆蓋或繞過某些安全限制
  • 佈建並設定帳戶與雲端執行個體
  • 關閉或重新啟動系統

在某些情況下,各種使用者帳戶與程序的特殊權限會嵌入應用程式、雲端管理平台、資料庫、檔案系統、虛擬機器管理程式與作業系統中。特殊權限也可以根據特殊權限使用者的角色指派,例如系統和網路管理員或財務團隊成員。最後,特殊權限也可以根據業務部門(例如 IT、財務、人力資源)或其他標準(例如資歷、時間點或地理位置)來指派。

授予授權使用者特殊權限,以執行其工作中的關鍵操作任務非常重要;然而,特殊權限存取本身就具有風險。

特殊權限存取管理有助於將內部人員濫用,或攻擊者竊取特殊權限存取認證後進行濫用的可能性降至最低。

特殊權限帳戶的定義

特殊權限帳戶(也稱為管理帳戶)是一組登入認證(即,使用者名稱與密碼),可用於存取伺服器、防火牆、雲端服務或儲存空間,或其他管理員帳戶。特殊權限存取管理用於管理這些帳戶,以確保需要存取的使用者擁有必要的特殊權限。

在大多數情況下,特殊權限帳戶是指 IT 團隊及資源使用的帳戶,用於管理組織的系統、基礎架構與軟體。特殊權限帳戶也可以授予其他使用者存取資料或系統。使用特殊權限存取管理,可以將特殊權限帳戶指派給不同的實體,包括:

  • 應用程式所有者
  • 資料庫管理員
  • 支援中心工作人員
  • IT 管理員
  • 作業系統
  • 安全團隊
  • 服務帳戶
  • 第三方承包商

特殊權限存取管理用於控制具有較高存取權限的使用者可以執行的操作。在 IT 領域中,這通常包括管理任務,例如:

  • 存取敏感資料與系統(例如,醫療記錄、信用卡資訊、身份證號碼及政府檔案)
  • 備份資料
  • 建立與修改使用者帳戶
  • 安裝軟體
  • 更新安全設定與修補程式

特殊權限存取管理也用於控制本機端和雲端中的基礎架構、服務和系統帳戶,例如:

  • 雲端環境
  • 資料庫
  • 端點
  • 作業系統
  • SaaS(軟體即服務 , Software as a Service) 應用程式
  • 伺服器
  • 服務帳戶

特殊類型的特殊權限帳戶(稱為超級使用者帳戶)也可以透過特殊權限存取管理進行控制。超級使用者帳戶在 Unix/Linux 系統中稱為「Root」,在 Windows 系統中稱為「Administrator」。

專業 IT 員工使用這些超級使用者帳戶來執行命令並進行系統變更。特殊權限存取管理負責監督超級使用者帳戶,以監控和記錄其活動,因為這些帳戶擁有廣泛的權限,可提供以下功能:

  • 在整個網路中執行系統性變更的能力(例如建立或安裝檔案或軟體、修改檔案與設定,以及刪除使用者與資料)
  • 授予和撤銷其他使用者權限的權力
  • 對檔案、目錄與資源擁有不受限制的存取權限,包括完整的讀取、寫入與執行權限

特殊權限存取管理有助於防止並減輕人為錯誤(例如不小心刪除重要檔案或錯誤輸入高權限命令)以及惡意內部人員活動所造成的影響。

特殊權限帳戶類型

以下是組織中常見的特殊權限帳戶類型範例,通常會透過特殊權限存取管理進行管理。

應用程式管理員帳戶

應用程式管理員帳戶擁有對特定應用程式及其儲存資料的完整管理權限。這些帳號用於確保應用程式能夠存取所需資源,以執行自動化作業與更新,包括資料庫與網路設定的更新。應用程式管理員帳號也確保能夠進行組態變更。

網域管理員帳戶

網域管理員帳戶擁有系統中的最高存取權限。這些帳戶可以存取每個工作站和伺服器,並控制系統組態設定、管理員帳戶與群組成員資格。

網域服務帳戶

這些帳戶功能強大且非常複雜。由於它們用於連接多個系統和應用程式,以進行通訊並存取各種資源(例如存取資料庫、呼叫 API、執行報表),因此變更網域服務帳戶認證會導致連接中斷,並可能造成嚴重破壞。由於這些認證極少甚至從未被更換,因此特別容易遭到入侵或濫用。

緊急帳戶

緊急帳戶有時被稱為「破窗 (break the glass)」帳戶,具有特殊存取權限,目的是在發生重大事件後,讓原本沒有特殊權限的使用者能夠暫時取得較高的存取權限,以便恢復系統與服務。

本機管理員帳戶

本機管理員帳戶擁有對特定伺服器或工作站的管理控制權。此類特殊存取權限帳戶通常用於協助 IT 部門執行維護任務。

本機管理員帳戶具有強大的權限;它們可用於建立本機使用者、指派使用者權限與存取控制權限,並透過變更使用者權限來控制本機資源。

服務帳戶

服務帳戶用於促進應用程式與作業系統之間的安全互動。服務帳戶的安全性問題在於,它們可以在作業系統中用於執行應用程式或程序,但其存取權限通常是以系統帳戶(即無密碼的高權限帳號)或特定使用者帳戶(通常手動建立或在軟體安裝期間建立)為背景。儘管服務帳戶通常不允許登入系統,但其使用的密碼通常不會變更,並且帳戶不會過期。

超級使用者帳戶

超級使用者帳戶指派給管理員。此類帳戶讓使用者能夠不受限制地存取其工作所需的檔案、目錄與資源。特殊權限存取管理負責監控這些帳戶的活動,包括安裝軟體、變更組態與設定,以及新增和刪除使用者與資料。

其他類型的特殊權限帳戶

以上僅是組織應優先保護的部分特殊權限帳戶類型,以降低遭到入侵或濫用的風險。其他類型的特殊權限帳戶還包括:

  • 用於存取安全解決方案的帳戶
  • 防火牆帳戶
  • 硬體帳戶(例如 BIOS 與 vPro)
  • 網路裝置
  • Root 帳戶
  • Wi-Fi 帳戶

特殊權限密碼的定義

特殊權限密碼是指特殊權限帳戶的一種,僅授予少數使用者執行以下操作的能力:

  • 存取關鍵系統、帳戶與應用程式(例如客戶關係管理(CRM , Customer Relationship Management)平台、作業系統、社群媒體帳戶、IoT 裝置與目錄服務)
  • 執行受限功能(例如建立帳戶並指派帳戶的存取權限)
  • 檢視、編輯或下載敏感資訊(例如客戶資訊、財務資料與智慧財產權)

特殊權限存取管理有助於保護高風險的特殊權限密碼,因為一旦這些密碼遭到入侵,可能會被用來進行橫向移動,造成嚴重破壞。

與人員、應用程式及服務帳戶關聯的特殊權限密碼風險特別高。特殊權限存取管理提供監控和警示功能,以確保這些帳戶(包括人員帳戶)不會成為攻擊向量(Attack Vector)

特殊權限存取管理的重要性

特殊權限存取管理在降低特殊存取權限帳戶相關風險方面扮演關鍵角色。以下是特殊權限存取管理如何防止特殊權限帳戶被用於惡意活動,以及它如何協助組織的幾種方式。

特殊權限存取管理很重要的五大理由

  1. 使資安團隊能夠辨別因特殊權限濫用而導致的惡意活動。
  2. 確保員工僅擁有完成其工作所需的最低存取權限。
  3. 辨別與特殊權限濫用相關的惡意活動。
  4. 為系統之間的存取與通訊提供安全的存取控制
  5. 偵測到發生的異常特殊權限存取活動。

特殊權限存取管理也很重要,原因如下。

縮減攻擊面

特殊權限存取管理可以透過限制人員、系統與應用程式的權限,來防範內部與外部威脅,進而減少漏洞被利用的機會。

提高可視性

透過特殊權限存取管理,安全團隊可以即時查看使用者對每個應用程式、裝置、網路與伺服器的存取情況,包括工作階段時段。這使得團隊能迅速識別未經授權的存取企圖。特殊權限存取管理也可用於設定警示,當使用者行為異常時發出通知,並標記可能遭到入侵的認證。

提高生產力

特殊權限存取管理可以自動執行手動工作,例如密碼建立與密碼保管。特殊權限存取管理可以減少人為錯誤,節省團隊修正問題的時間,並有助於消除使用者從多個位置與裝置登入時出現的存取問題。

整合存取

特殊權限存取管理提供單一儀表板,用於管理對企業系統(包括應用程式、資料庫、裝置、伺服器與工作站)的存取。此儀表板也可用來產生報告,彙整來自多個來源的存取資料。

將網路攻擊的影響降至最低

如果發生資料外洩(Data Breach)惡意軟體(Malware)入侵,特殊權限存取管理有助於限制其傳播範圍,進而將其影響降至最低。

防範離職員工的攻擊

透過簡化自動移除離職員工存取權限的流程,特殊權限存取管理有助於消除因離職員工仍保有系統存取權限而產生的安全漏洞。

符合網路安全保險要求

因應勒索軟體(Ransomware)攻擊的廣泛影響與高昂代價,許多網路安全保險都要求使用特殊權限存取管理。這是因為特殊權限存取管理控制已被證實能有效降低風險並遏止網路威脅。

遏止最薄弱的安全環節—人為因素

專家一致認為,人為因素是最薄弱的一環,尤其與存取權限相關。特殊權限存取管理可以防止特殊權限使用者濫用或誤用其存取權限。

特殊權限存取管理透過確保特殊權限使用者僅擁有完成工作所需的最低存取權限,進而遏止來自特殊權限使用者的潛在風險;同時也有助於識別並追蹤與權限濫用相關的惡意活動。

支持法規遵循計畫

特殊權限存取管理有助於實現和驗證法規遵循。它可促進最小權限原則(PoLP)的實施與執行,而該原則是許多規章的法規遵循要求,包括美國聯邦資訊安全管理法 (FISMA)、1996 年健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI DSS) 和沙賓法案(SOX)。

此外,特殊權限存取管理會記錄與關鍵 IT 基礎架構及敏感資訊相關的所有活動,進而提供法規遵循稽核所需的資料。

特殊權限帳戶與密碼的威脅向量

特殊權限存取管理是一項有效工具,可用來消除利用特殊權限帳戶與密碼進行攻擊的威脅。最常見的威脅是透過網路橫向移動,來尋找可用於提升權限的閒置或孤兒帳戶。

利用威脅向量(Threat Vector)存取特殊權限帳戶與密碼的行為者包括以下人員(其中有些人並非出於惡意,而是因疏忽或錯誤導致特殊權限帳號的權限被提升):

  • 意外內部因素(使用者錯誤)
  • 駭客
  • 惡意內部人員
  • 合作夥伴

特殊權限存取管理可以有效防禦特殊存取權限分配中的弱點,包括:

  • 用於應用程式、系統、網路裝置與和 IoT 裝置的硬式編碼與嵌入式認證
  • 對特殊權限帳戶缺乏認知
  • 權限的過度佈建
  • 不良的密碼管理實務
  • 遠端存取
  • 共享管理員帳戶
  • 第三方廠商存取權限

特殊權限存取管理最佳實務

以下概述最常被引用的特殊權限存取管理最佳實務。

  • 避免永久性特殊存取權限
  • 建立所有特殊權限帳戶與認證的完整清單
  • 確定特殊權限使用者行為活動 (privileged user behavioral activity, PUBA) 的基準,並監控偏差情況
  • 記錄特殊權限帳戶的使用位置、方式與使用者
  • 對所有使用者、端點、帳戶、應用程式、服務與系統(包括所有本地端、雲端與混合部署)強制執行最小權限,消除任何預設和持續性權限
  • 建立並執行全面的特殊權限管理原則
  • 實施強式密碼安全規範,例如:
  • 監控與稽核所有特殊權限活動
  • 提供即時存取
  • 要求權限分離與職能分工(SoD , Separation of Duties)
  • 移除預設管理員權限
  • 對系統與網路進行區隔
  • 善用特殊權限存取管理自動化
  • 使用基於活動的存取控制
  • 使用動態且基於情境的存取控制
  • 使用特殊權限存取管理來實施並維護相關的安全原則
  • 集中管理所有認證(例如,應用程式密碼、特殊權限帳戶密碼與 SSH 金鑰)的安全性和管理
  • 強制使用強式密碼
  • 定期更新特殊權限密碼
  • 禁止密碼共享

特殊權限存取管理與增強安全性

使用特殊存取權限本身就存在風險。特殊權限存取管理使組織能夠允許使用者提升存取權限,而不會損害安全性或擴大攻擊面。它可以強化安全性,並幫助安全團隊提高生產力並簡化營運。

日期: 2025年11月4日閱讀時間:4 分鐘
特殊存取權限網路安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們