ประเด็น
จากการตรวจสอบพบว่ามีการใช้งานบัญชีผู้ใช้ “root” ของระบบปฏิบัติการ “AIX” มาใช้งานใน “Business Process” ประจำวัน เช่น การปรับเปลี่ยนข้อมูลทางการเงินในระบบ “File” (Accounting adjustment) การตรวจสอบว่าไฟล์ทางการเงินประมวลผลสำเร็จหรือไม่ (Monitoring) เป็นต้น
/etc/passwd
root:!:0:0::/:/usr/bin/ksh
daemon:!:1:1::/etc:
bin:!:2:2::/bin:
sys:!:3:3::/usr/sys:
adm:!:4:4::/var/adm:
uucp:!:5:5::/usr/lib/uucp:
guest:!:100:100::/home/guest:
nobody:!:4294967294:4294967294::/:
lpd:!:9:4294967294::/:
lp:*:11:11::/var/spool/lp:/bin/false
invscout:*:200:1::/var/adm/invscout:/usr/bin/ksh
nuucp:*:6:5:uucp login user:/var/spool/uucppublic:/usr/sbin/uucp/uucico
paul:!:201:1::/home/paul:/usr/bin/ksh
jdoe:*:202:1:John Doe:/home/jdoe:/usr/bin/ksh
/var/adm/wtmp
oracle pts/0 211.251.1.14 Jun 29 14:50 - 15:15 (00:25) oracle pts/2 211.252.1.14 Jun 28 23:49 - 23:49 (00:00) oracle pts/2 211.252.1.14 Jun 28 23:48 - 23:48 (00:00) oracle pts/3 211.253.1.14 Jun 28 23:48 - 00:06 (00:18) oracle pts/2 211.251.1.14 Jun 28 23:46 - 23:48 (00:01) oracle pts/0 211.252.1.14 Jun 28 23:44 - 00:05 (00:20) root pts/0 176.29.10.7 Jun 28 23:00 - 23:01 (00:00) root pts/0 176.29.10.7 Jun 28 22:57 - 23:00 (00:02) root pts/0 176.29.10.7 Jun 28 21:44 - 22:55 (01:10) root pts/0 176.29.10.7 Jun 28 21:43 - 21:43 (00:00)
ผลกระทบ
เนื่องจากบัญชีผู้ใช้ “root” เป็นบัญชีผู้ใช้สูงสุดของระบบ “Unix” ที่ถูกติดตั้งมากับระบบปฏิบัติ (Operating Systems) ซึ่งเป็นสิทธิสำหรับดูแลและบริหารระบบ และยากที่จะตรวจสอบย้อนกลับได้ว่าใครเป็นผู้ใช้งาน ถ้า ณ ขณะนั้นถ้าเกิดมีการแชร์การใช้งานร่วมกัน (Shared accounts) และยิ่งไปกว่านั้นเปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถได้สิทธิระดับผู้ดูแลระบบและส่งผลกระทบในความไม่ปลอดภัยต่อระบบสารสนเทศทั้งระบบได้
ข้อแนะนำ
- สร้างกระบวนการสำหรับการลงทะเบียนของการร้องขอ แก้ไข ยกเลิก และแชร์ ของบัญชีผู้ใช้ (User Account Request Procedure)
- ประกาศใช้กระบวนการดังกล่าวและให้ทุกหน่วยงานรับทราบและปฎิบัติตามร่วมกัน โดยกระบวนการดังกล่าวบ่งบอกถึงความรับชอบเมื่อไม่ปฎิบัติตามกระบวนการดังกล่าว
- ในการใช้งานเพื่อปฎิบัติงานตามกระบวนการทางธุรกิจ (Business Process) จะต้องสร้างบัญชีผู้ใช้ใหม่ตามกระบวนร้องขอที่ (1) เพื่อให้มีหลักฐานสำหรับการตรวจสอบย้อนหลังได้
- สำหรับการบริหารบัญชีผู้ใช้สิทธิสูงสุดถ้าจำเป็นต้องใช้ จะต้องขออนุมัติจากผู้มีอำนาจสิทธิและวัตถุประสงค์การใช้งานเสียก่อน
ขั้นตอนการตรวจสอบ
วัตถุประสงค์การตรวจสอบ
- บัญชีผู้ใช้ root จะต้องไม่ถูกใช้ในการปฎิบัติทางธุรกิจประจำวัน (Day-to-day operations)
- บัญชีผู้ใช้อื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบ จะต้องไม่ถูกใช้ในการปฎิบัติทางธุรกิจประจำวัน (Day-to-day operations)
ขั้นตอน
- รวบรวมข้อมูลบัญชีผู้ใช้จากไฟล์ “/etc/passwd”
- จากนั้นสัมภาษณ์วัตถุประสงค์การใช้งานในแต่ละบัญชีผู้ใช้กับผู้ดูแลระบบ
- ถ้ามีเอกสารการร้องขอสำหรับการใช้งานบัญชีผู้ใช้ (User requests) ให้รวบรวมเพื่อวิเคราะห์วัตถุประสงค์ของแต่ละบัญชีผู้ใช้
- รวมรวบข้อมูลของ “Log” เพื่อสนับสนุนว่ามีการใช้งาน “root” หรือ บัญชีผู้ใช้อื่นๆ จากไฟล์ “/var/adm/wtmp” โดยสุ่ม “Last Login” จากการเข้าใช้งาน “3-6” เดือนล่าสุด
- จากนั้นสอบถามถึงเหตุผลของการใช้งานบัญชีผูใช้ “root” หรือบัญชีอื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบ
- วิเคราะห์ว่า “root” หรือบัญชีผู้ใช้อื่น ๆ ที่ได้สิทธิเทียบเท่าผู้ดูแลระบบถูกนำมาใช้ในงานสนับสนุการทำงานทางธุรกิจประจำวัน (day-to-day operations) แทนที่จะใช้ในการบริหารจัดการดูแลระบบเท่าที่จำเป็น เช่น บริหารจัดการบัญชี หรือทรัพยากรของระบบ เป็นต้น