正視身分管理擺脫資安債

全球疫情加速許多地區數位轉型，台灣也包含在內。隨著數位化加速進行，企業員工使用更多的設備和應用軟體，同時仰賴多雲平台上的協作工具共同維持整個企業的營運。這導致了人類和非人類身分的爆炸性增長，如果這些身分管理不當，就會給予駭客大好的攻擊機會。

混合工作型態也進一步擴大網路犯罪分子的攻擊面，讓IT團隊為了保護分佈在不同網路中眾多的數位身分而疲於奔命。隨著企業組織開始注意並著手開展網路安全措施時，是時候考慮以「債務」的角度看待日益嚴重的數位身分問題。

所謂「資安債」是技術債的一種類型。指的是隨著時間的推移，新的系統和技術陸續加入，而在組織的IT環境中逐漸累積未解決的安全性漏洞。當這些債務沒有及時償還，「利息」就會滾雪球般增加，使日後想要修復這些問題變得極端昂貴且困難。一旦陷入資安債困境，將會吃掉龐大人力財力，嚴重排擠本應投注在提高企業生產力和效率的資源。

根據CyberArk 2022身分安全威脅情勢報告，許多組織優先考慮數位化計畫（例如加速遷移至雲端、開發新的數位服務和支援Work from Anywhere的工作模式等），但卻同時推遲以身分為核心的安全防護，因而更深地陷入資安債泥淖。事實上，高達99%受訪企業在過去一年內都加快了商業或IT計畫，以在COVID-19困局下保持企業韌性和差異化競爭。

數位化既帶來了新的機遇，也帶來了網路安全的漏洞。數位化應用所帶來的連接設備數量的增加，帶來的是嚴厲的挑戰。威脅者或惡意內部人員只需要一個外洩的身分就可以發起攻擊，並進一步提升權限，深入企業內部搜刮有價值的資產。

這可能是憑據存取（Credential Access）被列為其頭號風險領域的原因。然而，79%的受訪者表示企業並未優先考慮保護關鍵資料和資產。相反，他們正在全力推進可能帶來重大風險的措施。這種矛盾現象將會造成大量的資安債，隨著在關鍵IT基礎設施環節中未受適當控管的身分不斷滋生，這些都將轉化成不斷膨脹的沉重利息。

好消息是，一些企業正致力於扭轉局面。幾乎所有的受訪者都接受零信任網路安全模式，其中50%的人將部署身分安全工具選為他們的三大措施之一。面對持續的勒索軟體攻擊和其他新出現的威脅，一些企業也正在透過強調多因子認證（MFA）和最小特權存取等重要技術控管措施，更全面地處理資安債和降低風險工作，同時落實以人為本的方針，例如員工資安意識訓練，將具備資安意識行為內化成為企業文化的一部分。

擺脫資安債需要時間，具備一個堅實的以身分為中心的風險計畫，組織可以有效強化對新興威脅的防禦，同時放心推動關鍵商業計畫，協助企業蓬勃發展。

＜本文作者：謝文駿現為CyberArk北亞區總監＞