企業如何確保數位身分安全並將風險降至最低

網路安全事件不斷增加，根據Control Risks的報告，網路安全事件是2023年前五大風險之一。過去一年中，全球 84% 的組織曾經歷過身分相關的資料外洩事件，96% 的組織認為這些外洩事件可以透過以身分為中心的安全措施來防止或將風險降至最低。
 
儘管存在安全風險，但為提升企業靈活性與員工生產力，企業仍持續推動數位轉型。而這種轉變將導致人和機器身分持續激增，同時產生更多的存取要求，進而增加組織安全風險。值得注意的是，SailPoint近期發布的《The Horizons of Identity Security》報告中顯示，仍有高達74%的企業尚未建立成熟的身分認證計畫，並且在簡單的身分相關任務中使用手動流程。
 
勒索軟體、釣魚郵件到供應鏈攻擊，幾乎所有攻擊都涉及透過受損的身分(compromised identity)進入網路，然後橫向移動並試圖透過另一個受損的身分獲取特權。只需要一個身分就足以啟動一場大規模的資料外洩事件。企業在管理身分時有很多可能出錯的環節，包括員工初次入職、轉換職務進行使用權變更以及在員工離職時。若採用手動流程，有可能發生身分過度授權和過度特權，特別是因為每位員工平均擁有30個獨立的身分，而機器的身分數量超過人類身分的45倍。
 
隨著各家企業加速數位化和組織轉型的步伐，並尋求新的創新方式，尚未建立健全身分管理計畫的企業將面臨挑戰，例如其舊有身分平台無法應對新技術的複雜性，因此更容易發生資料外洩事件。缺乏現代、先進的身分安全認證計畫和平台已經成為企業營運核心風險之一。利用先進的身分安全計畫作為減輕網路和企業風險的基礎，應該是所有資訊安全和 IT 風險管理人員的首要任務，而且其實並不如想像中的昂貴或耗時。

防範資安洩漏事件該從何處開始？

對企業而言，並非阻止攻擊者進入網路，而是換個角度設想，當網路完全開放的情況下，企業需要保護、最有價值的內容是什麼？因此，需要確保在混合環境中，所有存取企業數據、應用程序和系統的人員都符合他們的身分，並且已被授權存取這些資訊。
 
這也意味著要管理所有員工、承包商、客戶、合作夥伴和非人身分的訪問權限，身分安全可說是零信任策略的基礎。零信任安全的方法是透過組織的身分基礎設施來建立防禦，而非透過網路邊界。隨著遠端工作人員和承包商、供應商等第三方存取企業網路的增加，在驗證身分權限之前，網路內部或外部的任何人都不應該被信任，這樣的概念可幫助企業抵禦網路安全威脅。
 
根據Sailpoint的《The Horizons of Identity Security》報告，表現最佳的企業會隨著成熟度的提高，利用身分安全來顯著改善其安全狀態、提供商業價值，並將其網路風險降至最低。例如，擁有人工智慧/機器學習（AI/ML）身分策略的組織因為擁有AI以及對整體環境更佳的了解，因此得以提高約40％的檢測和應對網路攻擊的速度，將安全漏洞事件的平均反應時間從三小時縮短到三分鐘。
 
儘管策略、營運模式和人才都是先進身分安全計畫的關鍵要素，背後支撐這些成就的技術平台更至關重要，因為將正確的人安全連接到正確的技術已遠遠超出了人類的能力範圍。企業若想透過一套具備擴展性以滿足需求的身分安全計畫來減少網路風險，需要具備三個核心能力：在整體網路環境中具有可視性和智慧性、將手動流程自動化，以及有效地將身分功能整合至基礎架構中。

可視性和智慧性

人工智慧和機器學習技術是先進身分安全平台的核心，可提供360度全面的視野和洞察力，企業能夠確保每個身分的安全性。透過人工智慧和機器學習，可以收集有關每個身分（包括人和機器身分）的正確數據，以進一步評估他們目前可以存取的內容、存取方式，以及他們應該可以存取的內容，進而推動更智慧、更具情境感知的身分決策。人工智慧和機器學習還可以發現高風險的使用者行為，檢測和預防可能導致詐騙或數據盜竊的高風險存取組合。另外，還可提供即時存取風險分析，可以在授權使用者存取之前識別潛在風險，有助於大幅減少數據外洩事件。
 
自動化
身分安全解決方案的另一個關鍵要素是藉由自動發現、管理和控制所有使用者存取，以保護組織免受網路威脅。自動化確保每個身分（包括人和非人身分）都擁有剛剛好足以完成其工作所需的存取權限，並且在其職務角色發生變化或離開組織時自動調整存取權限。自動化可以優化身分識別流程和決策，例如存取要求、角色建模和存取認證，減少孤兒帳號(orphaned accounts)和受損身分的風險，同時提高組織效率。自動化還有助於定義使用者角色並創建政策，針對眾多參與企業運作的數位身分，管理其生命週期的存取權限。自動化的重點在於啟用、安全和合規性，不僅提供存取權限，還要妥善控制這些存取權限。使工作人員能夠專注於創新、協作和生產力，同時降低風險。

全面整合

整合是幫助組織減輕網路風險的另一關鍵。全面且無縫的整合將協助企業擴展的能力，能夠集中管理和控制對於所有身分類型的資料、應用程式、系統和雲端基礎架構的存取。將身分識別安全解決方案與業務和安全系統整合，可將身分識別脈絡和決策融入日常業務工作流程中，創建無瑕疵、以使用者為中心的體驗。在整個企業中嵌入身分識別數據，為全面的技術存取和使用提供了全面的可視性，建立了強大的安全框架。它還能夠在整個企業 IT 生態系統中實現深度的身分識別脈絡和存取控制，使組織系統彼此間更加連接，因此更加受到保護。
 
設計正確的身分轉型部署非常重要。能夠幫助減輕網路風險的成功計畫必需具備在整個公司範圍內擴展計畫所需的基礎能力。根據公司情況，有兩種方法可行：一種是橫向方法，即在整個公司試行一個計畫並逐步提升能力；另一種是縱向方法，例如將所有身分需求部署到一個業務單位，再進一步擴展到其他業務單位。
 
內部組織較簡單的企業，如果有指定的計畫負責人，並且使用一些功能進行了明確的定義、規劃和溝通，通常會透過橫向方法取得成功。對於更複雜的公司，身分團隊可以利用首要業務單位來完善使用案例，建立明確的溝通，證明計畫的業務價值並建立基礎能力。一旦計畫達到成功度量標準，團隊就可以在逐個業務單位推出計畫。
 
採用現代化、人工智慧基礎的身分安全方案的公司可以大幅減少整體的網路和企業風險，同時獲得非常高的投資回報率。根據IBM的數據指出，相較於沒有建立自動化策略的企業，具有完全部署安全AI和自動化策略的組織花費在安全漏洞的成本上平均減少約305萬美元，等同於成本下降65.2%。
 
對於大多數公司來說，實現身分投資價值最大化的關鍵是實施一個先進的身分計畫，該計畫採用目標明確的策略和經過驗證的技術平台建構，並由前瞻性營運模式提供支援。有了一套正確的身分技術和支持推動因素，建構一個面向未來、更具彈性、可擴展的身分計畫將得以實現。

本文為投稿文章，不代表社方立場。原文作者: SailPoint 台灣區總經理，傅孝淇