不少企業遭到勒索軟體入侵之後,回頭檢視當初的資安破口,才發現惡意攻擊者早已成功假冒為合法使用者,在源頭取得組織的各種機敏資訊,並進入各種系統潛伏或破壞。而這些資訊之所以會洩漏,可能是員工點擊了某封釣魚信件、不小心暴露資訊,或管理者的登入方式未設定多層保護機制,攻擊者只要破解密碼就能順利進入、直接取得最高權限。
從過去協助企業建構資料安全架構的經驗來看,這樣的疏失顯示出組織源頭的身分認證機制已經亮起紅燈,沒有發揮原先做為第一關卡、擋住惡意攻擊者的效果。事實上,完整的資料保護措施,不只是由備份築起的最後一道防線,更應當從最前端就守住關卡,才能大幅降低許多潛在資安風險。
企業應盡速採取相應對策來杜絕機敏資訊遭竊,包含透過OTP等多步驟驗證,增加惡意使用者進入系統的難度,並為公司各項內部系統或SaaS服務,導入單一帳號登入的架構,以避免組織成員為了記憶多組帳號資訊,反而採用簡單卻不安全的密碼字串。
當然,針對較高權限的管理員帳號,更應強化額外資安防線,例如導入更具智慧的多重驗證機制,當管理員帳號只以單一密碼或從過往未使用的裝置,試圖登入系統時,系統會強制要求登入者須以信箱或App再次驗證,藉此有效防止未經授權的侵入行為。
不過,確保軟體或SaaS服務的安全性,只是這類解決方案的基本要件,在當前企業普遍存在IT人力短缺的狀況,因此管理易用性,也應視為導入身分驗證解決方案的重要指標。舉例來說,IT人員在員工入職、離職等人事異動時,會需統一啟用與收回各項內部系統的權限,然而當人數一多,就得分開管理各個員工、各項系統的權限,這將佔據IT不少時間,甚至可能出現疏漏關閉等人為疏失。若是身分驗證解決方案可以彙整組織所有資訊服務,且提供一鍵開關權限,就能替IT人員省下許多心力。
另外,盡可能涵蓋更廣泛的資安防禦範圍也是考量之一,例如在企業環境中,實體裝置安全也不容忽視,以員工電腦為例,許多公司採取了遠端工作模式,IT人員少有統一控管裝置的機會,萬一員工未升級作業系統或特定軟體,持續使用存有安全漏洞的舊版本,等於增加惡意攻擊者的下手機會。因此,當身分驗證解決方案同樣能集中管理各類型裝置,大規模設定裝置的安全性,並確保軟體可定期更新的話,即可落實保護力於組織的各個角落。
面對持續升級的資安風險,嚴謹身分驗證機制已經是企業必須依循的趨勢,有了這樣的概念與基礎設施,再配合主動偵測、備份與還原服務,才能最大化組織的資安層級。
<本文作者:李乾瑋現為Synology台灣事業處總經理>