企業資安防禦關鍵 身分安全為首要之務 智慧應用 影音
AMPA
touch

企業資安防禦關鍵 身分安全為首要之務

  • 張丹鳳台北

身分安全是網路安全領域的一個熱門話題。雖然現今愈來愈多的企業已意識到身分安全不確實將遭致危險,但許多組織仍未採取正確的身分安全措施落實資安防護。身分安全不該只是CIO、CTO和CISO所關心的問題,每個層級的每位員工都應該充分了解所有潛在威脅,以及遭遇身分相關攻擊可能面臨的嚴重後果,並為其做好準備。以下文章,由SailPoint台灣區總經理傅孝淇分享觀點。

現今,組織必須在他們的數位生態系統中管理成千上萬的身分。我們也看見攻擊者誘騙企業員工洩漏個人密碼等憑證的社交工程(social engineering)攻擊手法仍層出不窮。Verizon在2022年提出的數據洩漏調查報告(DBIR)中便指出,高達82%的資訊安全事件實際上都牽涉到人為因素,例如密碼等憑證遭竊、網路釣魚或系統安全配置不當等。隨著需要管理的身分和應用程式不斷增加,加上人為錯誤隨時可能發生,企業更應該要提高警覺,意識到落實適當的身分安全策略至關重要。

然而,許多組織卻低估了公司遭受網路攻擊的可能性,認為網路攻擊事件不可能輕易發生在自己身上。這是一個令人擔憂的現象,尤其是台灣近年發生多起大規模資料外洩和攻擊事件,例如在2021年百餘位台灣高層政要的Line帳號遭到駭客入侵,以及最近發生的醫院病患個資外洩事件,更有超過2,000萬名台灣民眾的戶政個資遭到竊取後被登上暗網市場拋售等重大資安事故。

部分企業也可能認為網路攻擊很容易管理,不會對公司造成太大影響,但事實並非如此。網路安全漏洞可能導致公司面臨嚴重的長短期成本和後果,例如財務損失、聲譽受損、保險費增加,以及生產力下滑。因此,企業需要嚴肅看待網路風險,將網路風險納入公司策略和規劃之中,並將身分安全列為優先要務,並開始以萬無一失的方式實施用戶存取權限限制等身分安全控管,以減少預料之外的身分攻擊帶來潛在損害。

身分安全應如何開始?瞭解公司需要什麼

首先,第一步是找出公司試圖透過身分安全來解決哪些問題。每個組織都有不同的挑戰和需求,可能是服務台人員因存取請求和密碼重設等問題而人力負擔過重,也可能是IT團隊發現到使用者所擁有的存取權限過多,或是採用雲端應用程式導致安全可視度降低,同時還增加了IT生態系統的複雜性。更糟的情況是公司可能已經發生了資料外洩事故。

如果公司所處的產業受到高度監管,對組織內部高層來說,合規性和風險規避則將是主要重點,瞭解誰有權存取公司的哪些應用程式和系統應成為最優先的工作,以展現組織遵守法規,且能有效地管理風險。因此,第一步先了解公司的身分安全需求是非常重要的,因為它有助於確定公司的最終目標,確保身分安全策略與組織的整體策略目標一致。

將重點放在流程

一旦確定公司的需求後,應寫出所發生之事件的整個過程,以及需要改正的地方。製作一張工作流程地圖,載明哪些安全流程採取手動作業、哪些採取自動程序、流程分別耗時等。識別所有關鍵的參與者是非常重要的一環;從IT團隊、服務台人員、安全團隊到使用者,以及參與者彼此間如何受到目前流程影響。能夠清楚地瞭解目前的情況、能力、流程、參與者和成本,才能為未來的身分管理專案設定明確目標。

設定目標

目標和度量標準對任何計畫來說都很重要。前兩個步驟決定後面計畫的實施依據,但對於計畫的成功與否,應依據計畫為公司所帶來的價值來作判斷。然而能夠實現目標的關鍵在於所設立的目標必須是清楚、可衡量並且有形的。單是以「提高公司的效率」作為目標並不夠具體;必須透過統計資料和數值檢視才足夠清晰。因此,目標設定應始終切合實際,這可能代表要從小處著手,並顯示隨著時間的遞增價值,比如一個專案可以分成多個階段推進,而不是一次完成所有事情,這也可讓專案團隊在不誇大預期的效益下建立可信度。

建立一個財務模型

組織需要先思考實際執行情況,盤點啟動和持續運作身分管理解決方案需要的硬體、軟體、人員或其他各類資源。盤點階段完成後,亦需將預期發生的維護成本或是其他任何成本納入財務模型。最重要的一點是記錄具體的改善,以及組織如何透過新的身分管理解決方案節省實際開支,比如因合規成本降低或服務台事件減少而減省的支出。

下一步則是測量價值。每個組織都有自己的首選財務度量標準,可能是專案投資數月或數年後可以回本,也可能是ROI(投資回報率)。重點是財務模型必須與管理團隊期望看到的表現指標呈現一致。投資回本期和投資回報率是許多組織使用的典型度量標準,建議將它們納入成為財務模型的一部分。

確保身分安全,提高公司能力

有了可靠的身分安全解決方案,IT團隊將能全面瞭解內部系統,以確保政策受到遵守、違規行為得到預防,並能在需要時向有關當事人發送通知,確保組織受到保護。身分安全並沒有使事情複雜化,而是提高公司的能力,使公司能夠更全面得保護敏感資料,且具有足夠的彈性讓使用者有效率地工作。

重大的網路攻擊或資料外洩對於企業聲譽、生產力和盈虧所帶來的風險不容忽視。隨著企業持續落實數位轉型,組織也必須對每位使用者落實正確的存取控制,以有效率地管理複雜的IT生態系統並保護所有使用者的數位身分、應用程式和資料安全,讓組織運作始終維持在安全且合規的環境。