背景需求說明:
客戶建置並使用了許多廠牌的設備及主機,需要不同的外部廠商來協助遠端管理與障礙排除,但缺乏一個有效的遠端特權使用者管理方式以達到特權行為管控與資安防護,尤其是當組織有 ISO 等各種資安稽核的需求時,更是需要一個簡單、好維護的特權行為紀錄與追蹤方案。
此方案為外部廠商事前申請遠端特權連線帳號,使用時要請內部人員協助申請該次連線的工單,並透過 sslvpn遠端加密連線連至內網跳板主機,並輸入工單號碼後方可進行作業,所有操作過程會被特權管理系統(ObserveIT)側錄,並可以訂定資安規則做到事中的阻擋,相關行為記錄會傳給工單系統(Ticketing system)的資料庫,以方便事後稽核管理者是否有檢核過側錄內容是否符合工單(Ticket)申請內容。
方案運作說明:
1. 外部廠商要連線必須請內部相關人員申請使用,才會開通sslvpn 帳號及產生工單。
2. Ticket 結束時必須自動斷線。
3. 跳板機上可訂定規則,如有違規可以告警或是斷線。
4. 側錄結果可以和工單系統資料整合查詢,以符合ISO 要求。
圖1. 架構示意圖
功能特點:
• 內建29種分類/300+項的內部威脅應用規則
圖2. 威脅應用規則示意圖
• 可精確搜尋側錄事件發生時相關的每個行為
圖3. 側錄播放事件圖
• 符合相關法規、使用記錄軌跡稽核及視覺化證據保存
圖4. 事前偵測、事中蒐證、事後稽核圖
專案效益:
1. 如有安裝非法軟體時予以告警並阻斷
圖5. 阻斷並告警圖
2. 未經授權使用特定應用程式可強制關閉。
圖6. 應用程式強制關閉圖
3. 稽核人員定期檢核側錄內容與申請理由是否相同,以及相關人員是否有定期檢核該錄影內容。
圖7. 工作畫面稽核圖
4. 側錄資料被加密儲存,僅能以ObserveIT專屬播放器播放,另可增設密碼才能使用。
圖8. 專屬撥放器畫面圖