ประเด็น
จากการตรวจสอบไฟล์ล็อก (Log) ของการพิสูจน์ตัวตน (Authentication) การเข้าใช้งานของระบบปฏิบัติการ “AIX” พบบัญชีผู้ใช้ไม่ได้ถูกใช้งานดังตัวอย่างดังต่อไปนี้
- บัญชีผู้ใช้ไม่เคยเข้าใช้งาน (Unused user accounts)
- บัญชีที่ไม่ใช้งานเกินกว่า 1 ปี (Dormant user accounts)
- บัญชีผู้ใช้ไม่สามารถระบุผู้ใช้ (Unidentified user accounts) หรือวัตถุประสงค์ของการใช้งาน รวมถึงเอกสารหลักฐานที่ได้รับจากผู้มีอำนาจในการสร้าง หรือใช้งานบัญชีผู้ใช้งานดังกล่าว
ติดตามตัวอย่างไฟล์ “/etc/passwd” และ “/var/adm/wtmp” ได้ที่ http://blog.itselectlab.com/?p=2205
ผลกระทบ
บัญชีผู้ใช้ที่ไม่ได้ใช้งาน (Unused user accounts) ไม่ได้ใช้งานยาวนาน (Dormant user accounts) หรือไม่สามารถระบุเจ้าของ (Unidentified user account) อาจเปิดโอกาสให้ผู้ไม่มีสิทธิเข้าใช้งานแต่เคยหรือล่วงรู้ถึงรหัสผ่านสามารถนำบัญชีดังกล่าวไปใช้งาน เช่น บัญชีผู้ใช้ของ “Vendor” บัญชีผู้ใช้ของพนักงานที่ลาออกไปแล้ว (Resigned staff) ซึ่งอาจส่งผลกระทบต่อความน่าเชื่อถือของระบบ การเปิดเผยความลับของข้อมูลบริษัท รวมถึงความถูกต้องครบถ้วนของข้อมูลที่ถูกใช้งานในระดับระบบปฏิบัติได้
ข้อแนะนำ
- กำหนดนโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ (User account management) โดยกำหนดถึงจำนวนวันของการระงับการใช้งาน (Disable user accounts) หรือ จำนวนวันที่ต้องถอดถอนออกจากระบบ (User accounts removal) และประกาศบังคับใช้นโยบายอย่างเป็นทางการ
- ตรวจสอบความจำเป็นการใช้งานของบัญชีผู้ใช้ไม่เคยเข้าใช้งาน (Unused user accounts) บัญชีผู้ใช้ที่ไม่ได้ใช้งานเป็นเวลาเกินกว่านโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ที่กำหนด และบัญชีผู้ใช้ไม่สามารถระบุเจ้าของหรือวัตถุประสงค์
- จากนั้นทำการระงับการใช้งาน (Disable) หรือลบออกจากระบบ (Removal) โดยทันที
- กระบวนการตรวจสอบในข้อ (2) ควรมีการจัดทำเพื่อใช้เป็นขั้นตอนปฎิบัติ วิธีการตรวจสอบ และกำหนดรอบระยะเวลาสำหรับขั้นตอนในการตรวจสอบตามรอบเวลาอย่างเป็นทางการ
ขั้นตอนการตรวจสอบ
วัตถุประสงค์การตรวจสอบ
- จะต้องไม่มีบัญชีผู้ใช้ที่ถูกสร้างไว้แต่ไม่เคยใช้งาน (Unused user accounts)
- บัญชีผู้ใช้ที่ถูกสร้างไว้และไม่ได้ใช้งานเวลานานจะต้องถูกระงับ (Disable) หรือ (Removal) ออกจากระบบโดยทันทีตามกำหนดเวลาของนโยบายสำหรับการบริหารจัดการบัญชีผู้ใช้ (User account management) ตัวอย่างเช่น 60 วันระงับไว้ และ 90 วันถอดถอนออกจากระบบ เป็นต้น
- ทุกบัญชีผู้ใช้จะต้องมีผู้ถือครอง (Account owner) และวัตถุประสงค์ของการใช้งาน (Purposes)
ขั้นตอน
- รวบรวมข้อมูลบัญชีผู้ใช้จากไฟล์ “/etc/passwd”
- รวมรวบข้อมูลของ “Log” เพื่อสนับสนุนว่ามีการใช้งาน “root” หรือ บัญชีผู้ใช้อื่นๆ จากไฟล์ “/var/adm/wtmp”
- ตรวจสอบข้อมูลบัญชีใน (1) เทียบกับ (2) โดยที่
- ค้นหา “Last Login” ของแต่ละบัญชี ถ้าพบให้ตรวจสอบวันที่และสถานะของบัญชีผู้ใช้ ถ้าเกินกว่าที่กำหนดและบัญชีผู้ใช้อยู่ในสถานะพร้อมใช้งาน ให้ถือว่าเป็นประเด็น
- ถ้าไม่พบแสดงว่ามีการสร้างปราศจากการใช้งาน
- จากนั้นสัมภาษณ์วัตถุประสงค์การใช้งานในแต่ละบัญชีผู้ใช้กับผู้ดูแลระบบ
- รวบรวมเอกสารการร้องขอสำหรับการใช้งานบัญชีผู้ใช้ (User requests) เพื่อวิเคราะห์วัตถุประสงค์ของแต่ละบัญชีผู้ใช้ และเปรียบเทียบข้อมูลกับ (4)
- ถ้าไม่สามารถตรวจพบหลักฐานที่สามารถระบุผู้ใช้ (Unidentified user accounts) หรือวัตถุประสงค์ของการใช้งานให้เป็นประเด็น