儘管密碼管理對於公司安全的重要性眾所周知,卻仍然普遍被漠視。許多公司仍然依賴傳統和過時的密碼管理工具,因而導致「密碼疲勞」。更重要的是,這些公司並未採用企業等級的保護措施來保障資訊安全。
隨著員工手頭上的敏感資料量不斷增加,攻擊者對於密碼更虎視眈眈,尤其是那些管理不當的密碼。事實上,根據去年微軟公布的2022年數位防禦報告(Microsoft Digital Defense Report 2022),全球每秒有多達921次密碼攻擊,現在是時候把每位員工的身分憑據都視為真實的業務風險,並將所有員工的密碼與特權帳密同樣擺在安全第一原則下進行嚴密的保護。
在此提供值得所有資安團隊參考的五個步驟,以有效保護員工身分憑據。這包括一個全面的、從風險角度出發的身分安全方法,以協助企業全面落實特權管理--特別在現今日趨複雜的環境裡,唯有更強的控管能力才能進行安全的密碼分享和移交。
1.智能身分驗證:第一個步驟,也是智能身分驗證同時提升用戶體驗的必要步驟。這需要一種能自適的多因素驗證(MFA),它可以即時洞察用戶行為並調整身分驗證挑戰的難度。 2.安全第一的儲存:這一步涉及導入基於保險箱概念來儲存員工身分憑據的方式,基本必須具備可以設計如何儲存、管理及檢索帳戶和憑據的靈活性。例如,企業級工具可以為資安管理者提供選項,自動將新的身分憑據儲存在自建的保險箱中,並允許用戶無須連接VPN就可隨時取用。
3.安全的身分憑據管理和共享:這一步可以讓用戶安全地共享憑據,而不須透露密碼,但也允許控制誰可以分享、查看和編輯憑據;或對特定應用程式的用戶存取加上時間限制;並控管將憑據所有權轉移給新用戶的過程。
4.端對端的可視性:這一步則要求安全控管一直持續到身分驗證之後。在這裡,企業應該尋找額外保護的方法,以便在用戶登錄後監控和記錄所有操作--同時搭配完整的稽核紀錄。
5.無縫和安全的用戶體驗:這一步則要求企業進行管理和保護員工密碼的同時,可以與公司目錄和第三方身分提供者輕鬆整合;識別用戶何時輸入憑據,並提供將其保存在安全、基於保險箱的位置的選項;安全地自動填入帳密欄位達到快速、流暢的登錄體驗;並在必要時為用戶產生獨一的強密碼。 透過以上五個檢驗步驟的身分安全策略方法,公司將得以保護其敏感資料,防止安全漏洞,同時主動積極維護企業資安態勢。
<本文作者:謝文駿現為CyberArk北亞區總監>