隨著企業開始著眼於長期性的遠端工作策略,使得IT環境變得更加分散,軟體與系統攻擊面增加導致資安風險大幅提升。企業IT管理者欲提升分散式環境安全可控能力,可參考國際間推崇的零信任模型,以人與設備、機敏資料為核心,逐步調整政策配置來落實。
成立至今已經超過20年的CyberArk,始終專注於發展特權帳號與身分安全控管方案,而非如同不少IT技術供應商僅把身分驗證與存取控管視為眾多功能之一。CyberArk亞太區技術總監霍超文指出,早在CyberArk成立初期,研發團隊實際上就已經在落實零信任的概念。CyberArk雖然是以身為特權帳號管理(PAM)供應商而聞名國際,但其實IT基礎架構的組成元件中每個環節都有特權帳號需要被管理,而CyberArk方案的預設權限均採以最小程度的配置,換言之CyberArk本質上就是在落實零信任控管。
由此來看,零信任架構與最小授權的概念本就存在,只是傳統防火牆、VPN、終端作業系統等,研發時並未納入零信任的觀念,因此權限配置較不嚴謹。隨著資訊科技快速發展,IT基礎架構從實體部署建置演進到雲端軟體定義,凸顯出以往設定配置模式的弱點,也顯現零信任控管模式的優勢與必要性。
即時存取帳號落實驗證
兩年前尚未出現COVID-19之前,CyberArk已經以SaaS方式設計提供Alero解決方案,主要是為了提供遠端工作者無須透過VPN,基於臉部或指紋識別功能來進行身分驗證,即可連線回到公司內部存取關鍵應用系統的控管機制。假設IT管理者居家辦公,便可基於瀏覽器操作介面搭配手機App,即可藉由雙因素驗證,派發即時(Just in Time)存取的特權帳號,以便執行日常工作。
霍超文進一步說明,實際採用Alero不僅只有員工,更適用於第三方合作夥伴。多數企業IT會委請外部專家服務輔助維運,可能是不同廠商、多人團隊,實際操作執行維運時都需要提供特權帳號存取權限,若藉由Alero雲服務來提供,可有效地降低風險性。委外廠商只要下載Alero App,輸入姓名、行動電話、郵件位址進行驗證,IT管理者可設定提供允許登入的時間與限定存取系統,產生出QR Code發送給委外廠商,經由Alero App掃描立即可存取。再加上Alero平台可記錄該特權帳號所有的操作行為,包含鍵盤輸入的值、滑鼠移動與點選,透過錄影方式擷取記錄,甚至可在作業系統層級定義不允許執行操作的行為,讓特權帳號亦可落實最小授權的零信任控管。
自COVID-19爆發後企業廣泛實施遠距辦公,Alero雲服務更是受到關注,尤其是工業製造應用場域,當維運廠商只能遠端登入執行故障排除,藉由Alero來確保安全性,便能讓內部員工或委外廠商不至於受到疫情限制影響工作進度。
針對台灣大部分企業相當仰賴的微軟Active Directory身分驗證系統,CyberArk Alero亦可相互結合。霍超文說明,員工平常同樣可透過Active Directory帳號登入網域,整合Alero則可為遠端工作者存取特定關鍵核心系統時,額外增添即時存取權限機制,這也正符合零信任控管思維強調「不斷驗證」的精神。
開源工具揪出影子管理者
已整合特權帳號控管機制的應用系統與設備,便可以藉由CyberArk設計的Threat Analytics運行分析,協助偵測發現異常行為,進而觸發防護措施自動執行反應,例如暫時封鎖存取行為待確認無惡意後才開放運行,或者是要求再次輸入驗證碼。
另一方面,CyberArk Labs研究單位專注研究特權帳號與身分安全,持續擴張至今已擁有將近50人的團隊,霍超文指出,該團隊早在2017年時就已提出多數企業內部的Active Directory系統可能存在Shadow Admin(影子管理者)問題,例如為了解決一次特定問題而把某帳號提升為管理者群組,預設可繼承存取控管列表(ACL)配置的權限,事後卻忘記撤銷,往往直到該帳號與密碼遭竊取,並釀成資安事故後才被發現。
如今公有雲平台已成為現代應用部署模式的重要選項,萬一仍存在影子管理者的問題,勢必將被攻擊者利用,對此,CyberArk於2020年開放到GitHub平台的SkyArk,則可掃描檢查AWS與Azure雲平台,以免錯誤的權限配置導致資安事件。
AI持續監控避免雲平台權限過高
從CyberArk全球業績快速成長,亦反映出愈來愈多企業意識到特權帳號欠缺控管的危險性。霍超文回顧四年前剛加入CyberArk時,全球大約六百名員工,如今已超過一千六百名,主要客群不外乎大型企業、政府、銀行等最重視資安議題的產業,藉由引進CyberArk來控管特權帳號。在台灣也累積相當多銀行業客戶,採用CyberArk管理特權帳號、實施保護措施,以協助控管資安風險。
CyberArk亞太區技術總監霍超文強調,公有雲平台已成現代應用部署重要選項,更須確保不致發生影子管理者的問題,CyberArk於2020年開放到GitHub平台的SkyArk,可掃描檢查AWS與Azure雲平台,以免錯誤的權限配置造成資安事件。
近幾年企業用戶逐漸擴展到更多應用場景,例如銀行業中執行轉帳任務的員工,每筆交易額度可能高達幾百萬元台幣,實際上也屬於特權帳號範疇,對於企業而言有潛在風險,在環球銀行金融電信協會(SWIFT)加嚴規定後,銀行業開始採用CyberArk控管一般員工,近幾年更逐漸擴展到其他高風險用戶。
大型銀行業有能力投入資源維運CyberArk系統,但是對於中小企業而言卻是相當大的負擔,有鑒於現階段軟體工具改以SaaS訂閱模式提供已成趨勢,CyberArk也不例外,藉此讓更多中小企業省去初期部署投資,也不須再煩惱後續維運問題。
霍超文表示,CyberArk伴隨著企業發展數位化應用場景持續轉型,過去是傳統的軟體技術供應商,主要銷售模式為授權與維護合約,去年(2020)宣告轉型,不僅軟體改以SaaS服務提供,例如Alero等搭配訂閱制銷售模式,讓不同規模的企業得以依據應用場景選擇合適的方案。日前最新發布的是Cloud Entitlements Manager,正是看重引進零信任控管與最小權限配置之後,必須持續地監控與蒐集分析行為資料、提高可視化能力,進而以人工智慧理解存取意圖控管風險。例如主流的AWS Elastic Kubernetes Service、Azure、GCP等,不同平台配置方法迥異,發生人為配置錯誤的機率相當高,常導致機敏資料因此暴露。Cloud Entitlements Manager運用人工智慧主動學習設定配置,可精準地指出優先需要改善的環節,或者調降權限,輔助降低雲端平台控管風險性。