前言:特權帳號是駭客最渴望的目標
Verizon 的《資料外洩調查報告》(DBIR)多年來持續顯示,超過 80% 的資安事件都涉及特權存取的濫用或竊取。這個數字並不令人意外——若一名攻擊者成功取得 Domain Administrator 帳號,他等同於獲得了企業 IT 環境的「萬能鑰匙」,能夠存取任何系統、竊取任何資料、刪除任何備份,甚至部署勒索軟體加密整個網路。
然而,特權帳號管理往往是企業資安體系中最薄弱的一環。許多組織的 IT 部門至今仍以「共用管理員帳號」的方式運作,密碼長期不更換,離職員工的帳號未及時停用,第三方廠商持有的維護帳號無人追蹤——這些問題構成了嚴峻的內部威脅(Insider Threat)與帳號洩露風險。
一、什麼是特權帳號?
特權帳號(Privileged Account)是指擁有超出一般使用者權限的帳號,可對系統、設備或資料執行高影響力的操作。常見的特權帳號類型包括:
| 帳號類型 | 說明 | 典型風險 |
|---|---|---|
| Domain Admin(網域管理員) | Active Directory 最高管理權限,可管控所有網域電腦與帳號 | 一旦洩露,整個 AD 環境淪陷 |
| Local Admin(本機管理員) | 個別電腦的本機管理員帳號 | Pass-the-Hash 橫向移動攻擊的入口 |
| Service Account(服務帳號) | 應用程式或服務以此帳號執行,密碼嵌入設定檔中 | 密碼長年不更換,高度被攻擊者利用 |
| 資料庫 SA/root | SQL Server SA、MySQL root、Oracle SYS 等資料庫超級使用者 | 可直接存取、匯出或刪除所有資料 |
| 網路設備管理帳號 | 路由器、防火牆、交換器的 enable/admin 帳號 | 取得後可竄改網路路由、植入流量監聽 |
| 雲端 Root/全局管理員 | AWS Root Account、Azure Global Admin | 可建立、刪除任何雲端資源,無限計費 |
二、PAM 的核心功能
帳號金庫(Privileged Account Vault)
PAM 的核心是「帳號金庫」——一個集中儲存所有特權帳號憑證(密碼、SSH 金鑰、API Token)的加密保管庫。使用者不再需要知道真實密碼,而是向 PAM 系統申請存取,由 PAM 代為注入憑證建立連線。這種設計從根本上消除了「密碼被截取」的風險。
Session 錄製(Session Recording)
所有特權操作 Session 均被完整錄製(包含鍵盤輸入、螢幕畫面),存入不可竄改的稽核日誌。這對事後鑑識調查與合規要求(如 ISO 27001 稽核、金融監管)至關重要。發生資安事件後,調查人員可精確回放攻擊者或內部人員的操作行為,還原完整的事件時序。
Just-in-Time(JIT)存取
JIT 存取是零信任原則在特權存取管理中的具體實踐:特權帳號在平時處於停用狀態,僅在使用者提出申請並獲得批准後,才在指定時間視窗(例如 2 小時)內啟用,作業完成後自動撤銷。這種「用畢即還」的機制大幅縮短了攻擊者可利用特權帳號的時間窗口。
密碼自動輪換(Automatic Password Rotation)
PAM 系統能夠依照政策自動定期更換特權帳號密碼(例如每 24 小時或每次使用後更換),並確保所有使用該帳號的應用程式同步更新。這解決了「服務帳號密碼五年沒換」的常見問題,同時不需要 IT 人員手動操作。
雙人授權(Dual Control)
針對極高風險操作(如生產資料庫的結構修改、核心網路設備的設定變更),要求必須由第二名有授權的人員同步確認,才能執行操作。這是防範「內鬼」惡意操作的最後一道防線。
三、三大 PAM 導入場景
場景一:IT 管理員日常操作
這是 PAM 最核心的應用場景。IT 管理員透過 PAM 的跳板主機(Jump Host / Bastion Host)連接至目標伺服器,PAM 自動注入憑證建立 RDP 或 SSH 連線,全程 Session 被錄製。管理員不需要知道目標伺服器的真實密碼,一旦該員工離職,立即終止其對 PAM 的存取,所有相關特權帳號的存取即時中斷,無需逐一修改密碼。
場景二:第三方廠商遠端維護
廠商維護是企業 OT 資安與 IT 資安共同面臨的高風險場景。透過 PAM,廠商的維護連線被限制在特定時間視窗內,所有操作被完整錄製,且維護完成後存取自動失效。這解決了「廠商的 VPN 帳號一開就是幾個月」的常見安全問題。
場景三:DevOps CI/CD 管線中的機密管理
現代 DevOps 環境中,CI/CD Pipeline 需要大量存取憑證(資料庫密碼、API 金鑰、雲端服務帳號 Token)。這些機密若硬編碼(Hard-code)在程式碼或設定檔中,將帶來嚴重資安風險。PAM 系統(或其子集 Secrets Management,如 HashiCorp Vault)能夠讓 Pipeline 以動態方式取得短期有效的憑證,程式碼中永遠不包含真實密碼。
四、PAM 建置六步驟
步驟一:特權帳號盤點
執行全面的特權帳號探索,找出所有 AD 中的管理帳號、本機管理員帳號、服務帳號、資料庫超級使用者、網路設備管理帳號。許多企業在執行這個步驟時都會驚訝地發現大量「被遺忘的帳號」。
步驟二:風險評級與優先排序
依據帳號的存取範圍、被攻擊的可能性、以及業務影響程度,為每個特權帳號給予風險評分,確定哪些帳號需要優先納入 PAM 管控。
步驟三:PAM 平台選型
市面上的 PAM 解決方案包括 CyberArk(市場領導者)、BeyondTrust、Delinea(前身 Thycotic + Centrify)、以及開源的 Teleport 等。選型時需考量企業規模、現有 AD/LDAP 整合、雲端/地端環境,以及預算。
步驟四:Pilot 試行
選擇 10-20 個高風險特權帳號進行 Pilot 導入,驗證 PAM 平台與現有環境的相容性,收集 IT 管理員的使用體驗反饋,並識別潛在的流程瓶頸。
步驟五:整合 AD 與 SIEM
將 PAM 與 Active Directory 整合,使 AD 帳號停用能即時反映至 PAM 存取控制。同時將 PAM 的稽核日誌匯入 SIEM 系統,讓特權操作的異常行為能夠觸發資安告警。
步驟六:全面導入與持續優化
依優先順序分批將所有特權帳號納入 PAM 管控,建立特權存取申請與審批流程,並定期進行 PAM 平台健康檢查與存取權限複審(Access Review)。
五、凱茂資訊帳號安全服務
凱茂資訊提供企業帳號安全全方位服務,協助台灣企業建立符合零信任原則的特權存取管理體系:
- Active Directory 安全稽核:全面審查 AD 帳號設定,找出過度授權、未使用、以及密碼設定不當的帳號,產出高風險帳號清單
- PAM 建置輔導:協助企業選型、規劃、建置 PAM 平台,整合現有 AD、VPN、SIEM 環境
- 帳號生命週期管理:建立帳號申請、開通、定期複審、停用的標準流程,確保離職員工帳號及時處理
- MFA 全面部署:協助企業在所有特權帳號與關鍵系統上部署多因素認證
重點摘要
- 80% 資安事件涉及特權帳號被利用,PAM 是核心防線
- 三大功能:密碼保管庫(自動輪換)+ JIT 即時授權 + 全程錄影
- CyberArk 是市場領導者,Microsoft PAM 適合已有 AD 的環業
- 最小權限原則:日常工作用一般帳號,特權操作才用特權帳號
您的組織是否清楚掌握所有特權帳號的存取狀況?歡迎預約 AD 安全稽核服務。
預約帳號安全評估 →