近期的勒索軟體攻擊事件突顯出網路上存在多餘帳號的危險,特別是前雇員的帳號。在企業當中,一旦發生員工離職,依照標準的資訊安全作業流程,應當刪除該名員工的使用者帳號,若有員工過世,理當採取相同的做法。

今(2021)年1月,英國的資安公司Sophos便曾在其部落格撰文介紹相關案例,利用勒索軟體Nefilim進行攻擊的駭客,透過Citrix軟體的漏洞劫持某企業中已故員工的帳號,進而取得權限更高的管理者帳號,並掌握極具價值的資料,使得企業高達100多個系統均受到影響。

這起事件為企業(包括:資訊部門、資安團隊,以及人事部門)帶來教訓,有效的帳號不應該閒置在網路上,或是處於不受監控的狀態,因為一旦發生異常登入或有網路犯罪的活動跡象,便沒有相關的負責人可以採取補救措施。

Sophos在文章中提出一項折衷方案:如果企業在員工離職後確實有保留其帳號之需求,應當導入一組服務帳號(service account),且拒絕互動式登入,以防止任何非必要的存取活動。當帳號不需使用時便將其停權,並定期審核活動目錄(Active Directory)。

另一項重點是,應避免建立不必要的管理者帳號,因為這些帳號如果受到攻擊,等於是對攻擊者大開門戶。此外,千萬不要因為某人是主管或負責管理網路,就認為其需要擁有管理者帳號,應依據使用者實際所需的權限提供其對應的存取範圍,必要時再提升權限,並且僅可存取特定服務。

Fortinet的Derek Manky表示,人事部門與資訊安全部門之間絕對需要積極協作,才能改善員工的網路衛生習慣,包括審查及執行新進員工的存取申請,以及離職時的帳號刪除流程;另外,除了利用多重身分驗證機制之外,也應要求員工定期變更密碼,並定期提供教育訓練,以提高員工的資訊安全意識。

相關連結:

https://www.scmagazine.com/home/security-news/ransomware/even-dead-employees-pose-a-security-risk-when-their-accounts-are-still-active/

回到頂端