網絡攻擊愈來愈集中在身份盗竊,最近多次入侵都與用戶身份管理漏洞有關,向用戶配置不適當的權限,以致黑客長驅直進。
不同用戶擁有不同權限和存取權力,不過用戶入職後,可能有不同理由加入其他權限,例如技術支援人員暫時要某些權限,又或者是因調職或其他理由重新置調。
問題在於利用人手去管理權限,不過人登入應用和存取數據權限,往往隨人手數量增長,其複雜性亦以幾何級增長,加上VPN遙距工作和雲端應用,加上眾多SaaS即服務,幾乎是不可能用人手管理。
為了應對日益複雜的網絡風險,業界出現了零信任架構的概念,傳統周邊保安認證及信任連線後,發出登入整個網絡權限,其中一項是嚴格執行認證及授權,系統存取期間以動態原不斷掃瞄、評估威脅、修正及重新評估信任。
雖然多重認證可彌補密碼的不足,不過最基本還是要建立身份、憑證及存取管理系統,根據用戶要求存取為相關資源的時間、突如其來的網絡活動或對權限提出要求,重新作出評估。
此外,多次網絡事故都是與商業夥伴和外判商的存取漏洞有關,不少企業外判了IT支援和系統維護,由於涉及權限過大,外判商一旦受襲,導致從外部入侵的漏洞,結果演變成為嚴重事故。
有調查指出,約九成網絡安全漏洞,均與身份管理有關,身份安全變成率先要妥善部署的安全措施,不過再根據「零信任」的原則,幾乎必須自動化的身份管理才能應付。身份管理的一個原則,就是只給予用鳥僅足夠的權限,以免擴大攻擊面,而SailPoint的Access Modelling提供最佳身份設定方法,透過人工智能(AI) 及機器學習技術實現身份管理的自動化,從用戶行為及。
以往,機構只能集中保護結構性的數據,數據庫有存取有嚴格存取限制,較容較分析審計跟蹤(Audit trail),但非結構數據存在區域儲存的共享資訊夾,往往變成嚴重漏洞,據估計一般機構至少8成數據屬於非結構性,最近一次半公營機構的資料外洩勒索事故,就是源於敏感資料以檔案形式,儲存在共享的資訊夾,部分金融機構嚴格限制以檔案形式儲存客戶資料。
如果保護非結構性數據,曾出現不少方案,包括多種文件管理系統(DMS),但是設定DMS的文件管理極其複雜,DMS也面對資料存取設定不當的風險,而許多機構仍利用共享資料夾去儲存文件,部分也涉及敏感數據,保護就更加困難。
身份安全方案SailPoint推出「Data Access Security」,協助管理及保護非結構性數據存取情況,以中央處理提高對數據可視性,分類敏感和重要數據位置、堵塞外洩漏洞並減少風險。現時企業運作不少非結構化文件數據,例如是大量試算表,如果無法正確掌握重要數據的所在位置以至誰擁有存取權,就會陷入營運盲點。
SailPoint香港及澳門董事總經理戴健慶表示:SailPoint利用人工智能和機器學習,自動發現和調置權限,減少身份管理漏洞暴露的風險。
去年,SailPoint推出兩款產品雲端身份安全基本方案(Identity Security Cloud Business)與進階方案(Identity Security Cloud Business Plus),以上的「Data Access Security」就是基於Identity Security Cloud。Identity Security Cloud可以從存取活動判斷風險,具備數以百計的連接器管理混合式的IT架構,SailPoint再公佈了Identity Security Cloud的低層技術SailPoint Atlas,透過多租戶的SaaS 平台,以建立完整的身份安全計畫。SaaS優點顯然是平台可快速升級,毋須任何改動,就可以應對瞬息萬變的攻擊手段,亦更容易控制混合式的IT架構。
身份安全方案SailPoint最近發表了2023年《The Horizons of Identity Security》研究報告,收集了多國超過 375 名全球網絡安全管理人員的意見,發現44%企業的身份安全仍處於初期發展階段;即使成熟企業受保護身份仍不足70%,可見身份管理的市場仍然是大有可為。