隨著近幾年各行各業遭受駭客攻擊成功的案例增加,防護策略轉向零信任控管模式已成顯學。20多年前就採以零信任思維來研發特權帳號管理(Privileged Access Management,PAM)解決方案的CyberArk,研發技術持續進化,擴展到CyberArk Identity身分安全平台,讓企業所有員工及其設備資產都可依據身分定義,套用合適的管理政策執行防護。
CyberArk研發設計身分安全平台的理念,在於協助企業與組織,基於風險等級制定自家應用場景的資安政策,進而實施控管措施。藉此避免憑證被竊取或外洩、及時阻止橫向與縱向惡意擴散,以及限制權限未經授權的升級與濫用。
CyberArk大中華區技術顧問陳鳴豪引述最新發布的《CyberArk 2023身分安全威脅情勢報告》指出,企業在未來12個月內將部署比現有數量多出68%的SaaS工具。大量的人與機器身分可透過SaaS工具取得敏感資料,若缺乏適當保護,勢必將成為攻擊活動初始入侵的破口。
但是創建、記住以及不斷更新多個複雜的密碼,無疑是一個繁重的任務。如果身分安全解決方案無法滿足用戶的需求,員工可能會採取一些替代方法,而這些替代方法往往是現今攻擊者熟練利用的弱點。例如,多數用戶會藉由瀏覽器內建的功能保存登入帳密。更糟糕的是,有些人會在作業系統內建的記事本或Excel工作表中記錄密碼,一旦用戶端遭釣魚手法滲透成功,攻擊者即可取得合法帳密存取關鍵應用系統。
對此,CyberArk最新發布Workforce Password Management方案,專為企業營運環境而設計,可提供更高的隱私性、可用性和安全性,以及支援現代無密碼身分驗證機。存放密碼的位置可選用CyberArk Identity Cloud,或是自建的CyberArk數位金庫,透過端到端加密方式取用。
Workforce Password Management方案的特性,首要是可依據使用者名稱控管應用存取。CyberArk Identity的終端使用者可授予其他團隊成員存取特定業務應用程式的權限,以提高生產力。此時IT管理者可額外禁止終端用戶把root、admin、dba等特權帳戶添加到數位金庫,並且在帳戶擁有者離職時自動轉移所有權,控管憑證可能產生的風險。
CyberArk大中華區技術顧問陳鳴豪指出,CyberArk以提供特權帳號管理(PAM)方案著稱,本就是採以零信任思維研發。如今技術持續進化,擴展到CyberArk Identity身分安全平台,可讓企業所有員工及其設備資產的存取活動,既符合零信任原則又兼顧用戶體驗。
此外,Workforce Password Management支援採用CAPTCHA驗證機制的網頁應用程式,可輔助登入讓終端使用者無縫地操作存取,並且讓IT管理者能藉由定期產生的稽核報表審核安全準則。
Workforce Password Management亦可搭配CyberArk Identity Secure Web Sessions,以持續監看與偵測異常。針對機敏性較高的客服、財務、智慧財產等應用系統,Secure Web Sessions可在不影響用戶體驗的情況下執行背景拍照,以完整記錄操作行為活動,便於日後稽核。若不啟用拍照亦可藉由執行持續性驗證來進行保護,當用戶執行點選動作時,背景自動運行Cookie比對,防範遭到假冒。當偵測到用戶出現高風險的異常行為,例如同時在不同地區發起登入請求,則須改以不同方式驗證,例如直接撥打電話、郵件確認方式再次證明為用戶本人,為營運核心業務嚴加把關、降低風險。
陳鳴豪強調,CyberArk的技術可針對人或機器身分施以智慧化權限控管,並在整個生命週期中持續進行威脅偵測與回應。借助CyberArk身分安全平台整合的技術,企業與組織可快速實踐零信任控管與最小權限配置,同時擁有完整可視性,以確保每個身分都能安全地存取分散在地端或雲端的應用資源。