資訊科技發展以來,風險控管措施主要從網路層切入,在企業IT邊界部署進階偵測技術防堵惡意程式入侵。近兩年隨著雲端服務採用數量增多,既有IT邊界防禦可發揮的效益遞減,防護主軸轉向以用戶、裝置身分為核心,使得身分識別與存取管理(IAM)方案備受關注,企業可藉以依據零信任原則建立控管措施,避免混合雲/多雲環境出現資安破口。
自從疫情改變工作型態,混合辦公促使零信任原則廣泛受到重視,身分控管機制幾乎已成為降低營運場域風險的第一步,運用多因素驗證(MFA)、身分與存取管理(IAM)、特權存取管理(PAM)等機制,保障新型態辦公的安全性。
Thales大中華區資深技術顧問陳昶旭引述最新發布的「2022 Thales資料威脅報告」指出,亞太地區已採納零信任發展策略的企業只有28%,意味著當前的數位化應用場景欲阻斷外部攻擊威脅,仍有許多改善的空間,首要任務是運用技術發展已相當成熟的身分識別與存取管理,為零信任原則奠定基礎。
身分控管一致性與合規性縮小攻擊面
根據「2022 Thales資料威脅報告」的調查報告統計,當前企業混合辦公採用的遠端存取應用系統方式,依序是桌面虛擬化(VDI)為59%、VPN與雲端服務提供單一登入(SSO)機制為53%、部署零信任網路存取(ZTNA)為38%。對於現階段遠端工作的資安風險控管措施,有高達80%的受訪企業感到擔心,主要因素是實際上遭遇駭客攻擊次數大幅增加,以攻擊類型區分依序是勒索軟體(58%)、目標式惡意程式(57%)、阻斷服務攻擊(45%)。
CyberArk依照攻擊者共通手法,制定身分安全成功藍圖,指引三項降低風險的指導原則:防止憑證竊盜、阻止橫向及縱向移動、限制特權升級及濫用。
CyberArk大中華區技術顧問黃開印指出,企業或許認為導入網路層的ZTNA就已符合零信任控管原則,但從更宏觀的角度來看,設置資安機制的目的是為了保護數位資產,範疇應該涵蓋身分、機敏檔案、工作負載,而非僅止於網路存取。
過去較著重於管理層面的IAM解決方案,已隨著企業應用需求變化持續地擴展,提供更深度的資安機制。如今IAM可協助控管的範疇相當廣,涵蓋全體員工,通過身分驗證才得以授予權限。PAM則是鎖定少數擁有高權限者嚴加保護,捍衛數位資產。另一個容易混淆的方案是身分治理與管理(IGA),其偏重於員工到任與職務異動,舉凡開立新帳號的角色定義、職責範圍、打卡記錄等行政工作,皆屬身分管理範疇。
傳統上,前述的IAM、PAM、IGA等管理工具的訴求用途與供應商皆不同,但近兩年則頗有融合的態勢出現,不僅有助於協助企業縮小攻擊面,亦可達到一致性與合規性,讓員工可安心地協同工作。
人與機器的數位身分倍增
CyberArk日前亦發布最新「2022身分安全威脅情勢」報告發現,受訪的企業在過去12個月內曾至少加速一個數位化專案進程,使用戶、應用系統、工作流程增添更多連動,因而創造出更多數位身分。隨著數位應用增添人類與機器的數位身分,須配置更多存取機敏資料與資產的權限,以便執行工作任務,若缺乏適當管理恐成為安全隱患。
根據多年協助企業導入特權帳號控管方案的經驗,黃開印觀察,多數企業可能只針對擁有關鍵任務系統存取權限的帳號嚴加管制,即可降低風險。但隨著IT應用模式演進、訂閱雲端平台的服務,引進機器人流程自動化(RPA)等新技術,資安風險卻也隨之升高,須有效管控以免降低數位化應用模式的效益。
CyberArk 2022身分安全威脅情勢調查報告中提到,79%的資安專家同意加速推展數位轉型計畫須扛起「資安債」代價,也就是說資安規畫與工具無法跟上營運控管需求。黃開印說明,所謂的資安債是由於欠缺對於機敏資料與數位資產存取進行適當管控,導致風險升高。72%受訪者同意過去12個月內做出的資安決策,可能衍生新的漏洞或弱點。僅48%受訪單位在地端關鍵應用系統、雲端、DevOps等環境部署了身分控管措施。
「比較令人訝異的是,在DevOps Pipeline流程的開發、建構、測試、部署階段,高達87%企業曾將高存取權限授予給不同DevOps工具,甚至是開發人員電腦環境,以求加速IT進化。」黃開印說。數位應用創新往往聚焦在商業模式,資安控管機制成為其次考量,但當問題浮上檯面,就變成必須償還的資安債。
身分與存取管理深入應用控風險
數位轉型驅動愈來愈多企業IT改採雲端優先發展策略,IAM技術供應商也逐步跟進,建構地端與雲端得以整合控管的身分與存取管理平台。陳昶旭觀察,現階段台灣企業評估的方向仍以地端部署為主,更多選用多因素驗證機制,但待雲端採用數量逐年增長,勢必須整合登入與存取權限,甚至導入身分生命週期管理,才能降低維運複雜度。
陳昶旭認為,企業可以考慮採用地端加雲端的混合IAM解決方案,不僅傳統地端應用系統可持續使用既有的身分認證服務與單一登入方法,雲端應用亦可基於IAM技術供應商內建支援的OpenID Connect、SAML 2.0介接整合,達到立即可用的效益。
「IT領域的IAM或CyberArk倡議的Identity Security,專注在身分安全防護機制,運用多因素驗證技術確認為本人後才配發授權,進而記錄行為軌跡提供日後稽核。」黃開印說,現階段企業大多沿用舊工具,但CyberArk Labs集結了白帽駭客、資安情報專家組成團隊,深入研究混合雲/多雲環境,攻擊鏈的各個階段行為特徵、橫向移動方式,以便能有效反制新型態應用場景的威脅。CyberArk Labs提出的身分安全成功藍圖,參考美國國家標準與技術機構(NIST)的SP 800-61r2、歐盟網路安全局(ENISA)發布的事故管理最佳實踐、澳洲網路安全中心(ACSC)等監管單位提出的指導原則,有助於企業調整實施身分安全措施、降低風險。
SailPoint台灣區總經理傅孝淇也指出,其身分安全治理平台的核心理念在於協助提高企業營運生產力,實作發現、管理、保護所有身分,包含員工、連網裝置與機器人、工作負載。關鍵是採雲端原生研發服務,跳脫過去地端軟體思維,更適用於現代應用場景,以便於企業獲得身分管理的可視性,藉由人工智慧給予的建議控管風險環節。