隨著全球工業4.0浪潮,數位轉型成企業必然發展趨勢。近年來台灣發生多起大規模資料外洩和攻擊事件,僅仰賴基本網路安全措施已然不足,政府單位也正積極佈建「零信任安全」技術。企業身份安全管理解決方案公司SailPoint亞太區高級副總裁梅正宇認為,「零信任」應從身份安全開始,針對員工、非員工、機器,與外部供應商等進行身份管理,主動防禦,佈建更堅固且全面的網路安全策略。
過去十多年來,各產業紛紛進行數位轉型,IT環境數位化,特別在新冠肺炎疫情影響下,過去三年數位轉型速度加快,企業開始意識到,需採取零信任架構,才能真正做到安全防護。
他指出,過去大家談起企業資安防護,是防火牆、邊界等概念,認為某個身份(ID)只要進入企業防火牆內,便受到信任。
隨著數位轉型,大家隨時隨地可用各式裝置存取服務,一旦使用外部或家中網路連上公司內網,很可能將外網的攻擊帶入企業內部,造成駭客、勒索軟體入侵。
此外,企業的數位身分大量增加。過去可能只有員工或客戶,如今增加很多機器身份,或約聘等非傳統員工及第三方外包、供應商等,這些身份都需透過自動化或AI輔助進行有效管理。
梅正宇說,2022年ISDA身份定義安全聯盟研究指出,企業84%資料外洩都跟身份有關,過去三年也出現愈來愈多這類型攻擊。SailPoint台灣區總經理傅孝淇也表示,過去身份安全只考量員工身份問題,但如今需全盤考量整個供應鏈的身份安全。
SailPoint亞太區高級副總裁梅正宇 (左) 及 台灣區總經理傅孝淇 右))
AI管理的身份生命週期
零信任架構下的身份管理,可看成新的防火牆。每看到一個身份時,需確認其是否值得信任,再給予正確的存取權限。
梅正宇說,每個身份都有其生命週期,不論是員工、第三方或供應商還是機器等。
生命週期分JML三階段。第一階段J(Joiner/到職者),意即某個身份剛進入企業時,給予恰到好處的權限,降低駭客風險。
第二階段是M(Move/調動者),意指某身份在企業內進行調動,升職或改變職位時,權限也需跟著改變。梅正宇說,此階段對外包商或約聘人員特別重要,因他們會很快速的改變或移動他們的職能。
第三是L(Leaver/離開者),不論是約聘包商或員工,離職時,企業應立刻關閉其所有權限。
他說,JML是SailPoint進行主動式身份防禦很重要一環,當中的核心是AI。若一間擁有2萬名員工,5000多個App的企業,彼此關係錯綜複雜,需透過AI將這些關係有效整合,同時能主動偵測、識別異常身份。
非員工、機器身份管理
梅正宇說,約聘、非正式員工身份安全有其風險,如零售店面店員,多為約聘人員,他們會共用一套帳號密碼,可進入公司存取資料,若一人離職,帳號密碼便有流失風險。
「約聘人員最大問題,在於企業沒有針對他們的中央管理人資系統,常常僅有一個Excel名單表,是非常不準確且風險很高的做法。」
他認為,企業需有一個自動化管控機制。SailPoint提供NELM非員工風險管理方案,可將所有非員工、外包人員或機器身份,用中央管理方式監控其身分生命週期。
Sailpoint表示「機器身分」佔一般企業身分總數高達43%。
台灣身份管理意識待加強
台灣企業對於身份安全的意識並不高,有積極做到這方面的產業多因於合規要求。
梅正宇說,SailPoint先前針對台灣千大企業進行身份安全成熟度調查,從1000家企業中拿到的200份有效樣本進行分析,發現97%企業員工認為他們公司已做好身份安全管理,87%認為他們這方面做得更好,如有存取控制等。然而當他們訪問資安的專責人員,卻發現僅43%認為他們有做到身份安全管理。由此可知,大部分企業員工對身份管理了解層次是比較低的,也並未意識到身份管理是非常複雜的議題。
Sailpoint也將身份安全意識分成五等級。第一等級是企業完全沒有身份管理; 第二等級是有一點身份管理,但是手動操作。第三等級是已有數位工具進行身份管理。第四等級是擁有較進階的數位工具,如AI等。而最高等級,是企業已將身份管理完全融入公司數位系統中。
Sailpoint發現,45%企業還處於第一等級,29%為第二等級,20%第三等級,第四等級有6%,而沒有公司達到第五等級。
傅孝淇表示,過去一年多他們與台灣客戶溝通時,發現大部分企業主並未真正理解身份安全該如何做好管理,怎樣進行主動式防禦。
梅正宇說,各國在這方面狀況並不相同,例如澳大利亞已是個成熟市場,當地法規也嚴格,相較亞太地區,如台灣等,這方面需更多相關教育。
他表示Sailpoint在亞太地區的重點,是讓客戶了解依據安全規劃程度,將身份安全做現代化管理,提供一個可視性,並透過AI進行相關自動化,發現異常身份時,可立即進行處理,最後是將整個身份安全概念,整合到企業數位生態系統中。
ARM超前部署
風險管理一直是企業重大挑戰,特別是管理與技術存取相關風險。梅正宇提及存取風險管理(ARM,access risk management)的重要性。
他說,ARM可以說是企業資源規劃(ERP)內一個管理身份的作法。企業內很重要的部分是權限不能衝突,如採購與核准經費者的權限,不能放在同一身份上,對一間有許多員工的大公司而言,如何進行權限管理,比對不同身份之間的切換,職權轉換時權限是否有需修改等,是很困難的。
SailPoint的ARM存取風險管理技術,可自動化整合所有身份彼此關聯性,了解每一身份可有哪些權限等,管理者可獲得關於該身份安全性的可視性,未來還可連接其他相關應用程式。