2月中旬大家是否留意到一則新聞,關於日本東京電力公司出面說明當月7日,福島第一核電廠發生含放射性物質水外洩的事故原因,是作業人員忘記關閉手動閘門,「人員疏忽」的原因。這讓我想起SailPoint台灣區總經理傅孝淇也曾提到,資安事件原因很多,企業內部人員的疏漏比來自外部惡意程式攻擊的風險為之更高。我們可以如何「雙協助」,協助企業風險降低,也協助企業內部人員避免成為資安事件發生的肇事者呢?
「零信任」網路部署成效的發揮 身分安全治理成為關鍵
自2020年疫情影響大幅度的改變大家工作模式,增加遠距工作型態,系統資料上雲與服務的雲端化,過往所談及的內外網隔離幾乎已成泡沫,取而代之的為「零信任」網路部署,永不信任必須驗證的概念,「零信任」觀念已是國家級的資安政策,我國政府持續的推廣與施做中,然而零信任架構是否能發揮出成效,對於能否在目前面臨雲地混和的IT環境中,持續治理身分安全和存取權限管控,將是一大關鍵的檢驗。
傅孝淇分享這幾年觀察台灣企業資安部署的現象,她發現台灣企業沒有專責身分安全部門的設立且持續使用過去傳統方式管裡各部門人員身分權限的使用,例如使用excel表單或是IT與OT部門,各管各的身分存取權限,連同機器設備的身分管理方式亦然。她表示今非昔彼,企業身分安全(Idenfity Security)管控不再只是員工專享,非員工的身分也必須納入其內,例如第三方的合作夥伴、供應商、臨時人員、甚至是機器人員工和數位設備等都需要入列被保護。因此,企業必須捨去傳統式的管控身分安全,否則會持續發生令人難以挽回資料外洩或是資安威脅事件的憾事。
網路安全漏洞9成來自身分安全因素
傅孝淇敘述兩個案例,一個是高科技製造業,製造業視職權壁壘分明是常規,當企業營運各部門階層人員的身分或是職權產生衝突時,對內部治理是一大災難,可能會產生越權的現象或是事情被擱置無人處理。另一案例,則是資安威脅事件發生的原因,來自企業內部的孤兒帳號,當員工離職後企業未盡妥善的身分帳號處理,當離職員工的孤兒帳號又同時具備重要的權限,駭客潛入企業內順勢就可利用孤兒帳號,輕而易舉竊取內部機敏資料且大肆勒索企業一番。
這呼應了去年(2023)我閱讀SailPoint所發布的年度研究報告《The Horizons of Identity》訪問北美洲、拉丁美洲、亞洲和歐洲近 350 名網路安全高階主管,統計調查顯示超過90%的網路安全漏洞與身分有關,由此可知企業組織裡身分安全是資安領域內不能輕忽的一環,因為身分安全很有可能就是最大的一個資安破口。
企業要導入身分安全治理的門檻高嗎?
SailPoint是現今全球企業身分安全治理的服務廠商,台灣區總經理傅孝淇自稱接觸客戶總以身分安全治理的傳教士精神為出發點,因為SailPoint來到台灣以專注教育市場且投入大量身分安全治理在地化服務(Local Service)為使命,在台灣除了原廠業務及技術人員的支援外,還有數家本地專業的資安服務代理商深耕服務客戶。
傅孝淇表示當企業認知每一位員工,包含機器人員工都具備最小權限的管理,有了這些基礎觀念與認同後,企業接續規劃發展身分安全治理會是順利的起點,她也進一步提醒企業資安人員,不能只認為身分安全只有Single Sign-On (SSO)身分驗證解決方案或是多因子認證(MFA),而要從企業全面的安全管理到每位員工的身分存取開始到結束的生命周期性整體性思維來延展身分安全治理的觀念。再者,