長期深耕特權存取管理(PAM)領域的CyberArk,著眼於企業開展數位轉型後,混合雲/多雲應用模式已是大勢所趨,傳統實體網路邊界將隨之失效,加強身分安全來降低風險已是當務之急,近年來研發主軸也積極擴展至存取管理及開發安全維運流程(DevSecOps),擴大身分存取控管範疇。
CyberArk大中華區技術顧問黃開印引述CyberArk最新發布的「2022身分安全威脅情勢」報告指出,數位轉型、應用系統雲端化已擴大了企業的受攻擊面。實際上,IT或數位轉型計畫開展後將增加人員、應用系統、執行程序的連動性,衍生更多樣的數位身分,例如68%的非人類或機器人(Bot)可存取機敏資料與數位資產、平均每個員工擁有30個以上數位身分,這些前所未見的狀況,一旦缺乏適當管理恐將釀成資安風險。
正視數位轉型衍生「資安債」
針對已開展數位轉型計畫的企業可能面臨的網路威脅類型以及嚴重性,CyberArk 2022身分安全威脅情勢報告發現,受訪企業認為最具風險的前兩名為身分存取(40%)與躲避防禦(31%),超過70%企業組織在過去一年平均曾遭受兩次勒索軟體攻擊。令人訝異的是62%受訪者在SolarWinds攻擊事件後沒有採取任何措施來保護軟體供應鏈,甚至有64%受訪者更表示軟體供應商的淪陷意味著攻擊在其組織內根本無法阻止。
黃開印進一步指出,該調查報告統計79%的資安專家同意,加速推展數位轉型計畫須扛起「資安債」代價,意味著現行資安規畫與工具跟不上營運控管需求。之所以產生資安債,主要是機敏資料與數位資產存取欠缺適當管控而導致風險升高,72%受訪者承認過去12個月內做出的資安決策,可能衍生新的漏洞或弱點。
為了有效降低數位化帶來的資安風險,黃開印認為,企業應即時監控和分析以稽核所有特權連線活動,將營運核心系統採行最小權限配置,並且隔離與限制溝通連線行為,以避免憑證遭竊、阻斷橫向與縱向惡意活動,從而有效限制特權升級及濫用。
保障遠距工作合法合規
自從疫情改變工作型態,混合辦公促使零信任原則開始受到重視,為了控管現代數位營運環境風險,身分控管機制幾乎已被視為落實的第一步,結合運用多種既有的技術及方法實作,例如多因素驗證(MFA)、身分與存取管理(IAM)、特權存取管理(PAM)及網路分區隔離,以實現全面的縱深防禦。
先前IT人員熟知的IAM方案主要用於全體員工控管,得通過身分驗證才授予內網存取權限,近兩年更藉此協助遠距工作者確認身分與配發權限。黃開印觀察,過去常見的應用場景是藉由跳板主機登入營運核心系統,此架構為網路切割模式,因疫情無法進入辦公室期間,員工只能透過VPN連線進入內網存取,以執行日常工作任務。問題是多數稽核單位普遍認為VPN安全等級不高,要求CyberArk基於既有的特權存取管理技術來解決,因此CyberArk發展出針對供應商的特權存取管理,只須在既有系統環境安裝連接器程式,透過443埠接取到CyberArk Identity身分安全平台,便無須VPN,通過身分與裝置驗證即可安心放行。
CyberArk Identity身分安全平台增添的Secure Web Sessions雲端服務,同樣也是在疫情期間所研發,讓員工在任何環境發起連線請求,都能由CyberArk技術實作隔離與防護。疫情使得辦公型態轉變,無法在既有的安全疆界環境中執行任務,因此讓員工不論在何處辦公,登入核心系統時都須通過無法被篡改的認證,才得以授予執行操作權限,且所有行為皆可錄影記錄,以便事後調閱。
CyberArk大中華區技術顧問黃開印指出,企業創新應用較著重商業模式,往往不會優先考慮安全風險,常等到稽核單位指正必須補強縱深防護機制,才痛苦償還初期階段欠下的「資安債」。
基於雲端服務提供的Secure Web Sessions,可完整記錄與監控受CyberArk Identity保護的核心系統存取活動。黃開印說明,企業可藉由員工身分(Workforce Identity)驗證機制,監控用戶行為模式並在檢測到異常活動時強制重新執行身分驗證。用戶端瀏覽器操作介面以隔離連線方式存取核心系統時,隨即啟動螢幕截圖機制記錄操作行為,僅提供授權的管理者與稽查人員才可檢視查閱,以嚴謹的管控手段保護財務、個資、智慧產權等機敏資料。
CyberArk藍圖協助實踐控管風險
為了協助企業落實建構身分安全計畫,CyberArk根據多年累積的領域知識,同時參考美國國家標準與技術機構(NIST)的SP 800-61r2、歐盟網路安全局(ENISA)發布的事故管理最佳實踐、澳洲網路安全中心(ACSC)等監管單位提出的指導原則,設計「身分安全成功藍圖」,制定了三階段的實踐目標,避免未經授權擅自獲取存取特權帳號憑證、惡意活動橫向移動尋找高價值標的、濫用升級最高權限以竊取機密資料或執行加密。
實踐的第一階段為釐清保護價值較高的標的,也就是特權帳密,須先識別出所有可能被利用來控制整體運行環境的身分及其特權,例如網域管理者、雲端管理者等帳號,透過隔離特權連線、加密與強制變更密碼、自適應多因素驗證、智慧化監控及分析特權者連線活動,運用CyberArk特權存取管理實作,有效防止未經授權存取以降低風險。
第二階段是集中保護通用的技術平台,例如網域控制器、PaaS服務平台等之可合法存取的管理者帳號,以加密機制、定期變更密碼、隔離連線機制建立保護措施。第三階段則是把身分安全納入企業安全控管策略,將工作站、筆記型電腦、桌上型電腦、桌面虛擬化(VDI)的作業系統設置為最小權限存取,防範萬一惡意程式滲透成功而獲得提高權限的機會。CyberArk端點特權管理解決方案可藉由刪除本機管理權限、根據政策措施控管用戶與應用程式執行權限,來限制曝險狀況發生。同時透過只授予用戶執行工作任務所需的最小權限,以及管制應用程式,可有效地預防遭到勒索軟體、惡意程式感染風險。
值得一提的是,針對近兩年勒索軟體猖獗導致全球大型企業與組織受駭事件頻傳,CyberArk Labs網路安全專家團隊建立了實驗室,測試超過157,000個惡意軟體樣本,例如惡名昭彰的Cryptolocker、Locky、Matsnu等,觀察其在真實環境中擴散感染,來掌握惡意活動流程。CyberArk Labs團隊證明,禁止未知應用程式執行讀取、寫入、修改檔案的活動,並撤銷本機管理員權限,可確實防止勒索軟體對檔案進行加密。
黃開印強調,全面性地實施身分安全管理計畫無法一蹴而就,CyberArk設計的藍圖可用於奠定基礎,讓企業IT藉此逐階段擴展防禦廣度與深度,以因應瞬息萬變的資安威脅。