因應COVID-19疫情實施居家或分流辦公措施,員工須透過VPN連線登入內網存取應用系統,執行日常工作任務,與此同時,攻擊者也趁著企業大規模遠端工作疏於防範,大肆利用釣魚郵件、詐騙網站等手法騙取個資。
國內擁有自主研發雙因素驗證(2 Factor Authentication,2FA)技術的I·X(大宏數),設計提供I·X Trio解決方案,讓遠端存取模式無須仰賴VPN連線,透過App即可存取ERP、檔案伺服器等內部應用系統。
I·X創辦人吳祖進說明,I·X Trio設計理念是在企業IT既有的環境下,增添實質上可提高安全性的機制,且無須修改程式,部署完成後立即可用,如此才可發揮價值。I·X自主研發的技術,包含自建部署金鑰管理虛擬主機,讓IT人員或高階管理者採以實體Token登入設定配置,大約為一張信用卡大小,同時可成為員工識別證,內嵌安全晶片已通過歐盟CC EAL 5+認證,擁有金鑰管理權。其他員工則是依據個別帳戶演算產生獨一無二的金鑰,由App透過網路連線到金鑰主機網路,即時執行身份認證、檔案加解密。
市場上還有其他驗證服務,例如FIDO(Fast Identity Online)標準,為什麼I·X還要研發雙因素驗證?吳祖進觀察,FIDO為國際級的標準,由多家國際IT龍頭大廠制定規則,問題是FIDO不會為企業客製化,勢必得修改應用程式才得以採用,便利性並不高。
針對企業內部應用系統,無論是自行開發或採用商業版建置的應用系統,若欲建立一套共通的驗證機制,I·X Trio設計的雙因素驗證即可協助,只需透過Web API方式串接,或者是透過LDAP協定整合即可實現。以常見的Active Directory網域服務為例,搭配內網部署I·X LDAP Proxy,可在員工執行登入當下先行發送雙因素驗證碼到手機,以確定登入者為本人。
「在I·X Trio解決方案中,除了金鑰管理機制以外,真正創新之處在於應用軟體與服務的串接。特別是近兩年COVID-19疫情全球大流行,全面實施居家辦公措施時期,我們發現企業想要解決的資安風險,不僅只是VPN遠端登入衍生的問題,更關注員工透過私人手機或筆電處理公務,無法全權掌控的情況下恐引發資料外洩事件。」吳祖進說。
過去常見的作法是自建部署虛擬遠端桌面(VDI),確實可保障資料不外洩,問題是成本未必可讓多數企業接受。若採取I·X Trio來管控資料存取,在Trio App中提供的瀏覽器操作行為控管機制,內建的簽章中已嵌入個人金鑰,可有效地限制下載、截圖、複製等操作權限。
吳祖進強調,I·X採用的是非對稱式金鑰,最大好處是簽章擁有私人金鑰,應用伺服器只要採用公鑰即可驗證,I·X Trio正可透過反向代理來執行,若不具備簽章的存取請求全數予以攔阻,大幅拉高攻擊者冒用身分登入的門檻,增添防護力。