S-03: 보안장비 계정별 권한 설정
분류: Security Equipment
중요도: 상
개요
점검 내용
보안 장비에 등록한 계정들에 대해 업무에 불필요한 권한 여부 점검
점검 목적
보안 장비에 등록한 계정의 용도별 권한을 부여함으로써 권한 없는 사용자의 설정 변경으로 인한 시스템 침입 경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 비인가자에게 탈취되었을 때 보안 장비를 장악하지 못하게 하기 위함
보안 위협
사용자별 계정의 용도 파악 및 적절한 권한을 부여하지 않을 경우, 권한 없는 사용자의 의도하지 않은 보안 정책 수정이나 보안 장비 설정값 변경을 통하여 비인가자에게 시스템 침입 경로를 제공할 위험이 존재함
참고
참고
관리자 권한은 최소한의 계정에만 부여
점검 대상 및 판단 기준
대상
방화벽, VPN, IDS, IPS, Anti-DDoS, 웹 방화벽 등
판단 기준
✅ 양호: 사용자별 계정의 용도 파악 및 적절한 권한이 부여된 경우
❌ 취약: 사용자별 계정의 용도 파악 및 적절한 권한이 부여되지 않은 경우
조치 방법
사용자별 계정의 용도 파악 및 적절한 권한 부여
조치 시 영향
일반적인 경우 영향 없음
점검 및 조치 사례
공통
- 보안 장비에서 제공하고 있는 계정 메뉴에서 계정별 권한 확인 [ 계정 권한 확인 ]
- 보안 장비에서 제공하고 있는 계정 메뉴에서 기존 계정의 권한 검토(불필요한 권한 삭제)
- 단일 계정을 여러 사용자가 공유 시 사용자별 계정 생성 및 권한 차등 부여