數位化、雲端化應用正在翻轉市場商業模式,影響所及不僅僅是科技的進步,更是一場全面性的商業創新。在這個轉變中,企業必須實踐轉型,以贏得競爭力。然而,隨著數位資產、現代化應用系統日益增多,以利益為目的的攻擊威脅手法只會更刁鑽難辨,企業若遭駭侵恐危及營運,造成難以彌補的損害。
CyberArk北亞區總監謝文俊指出,為了協助現代化企業因應「新身分、新環境、新攻擊手法」引發的空前資安風險,CyberArk已基於特權帳號管理累積深厚的領域知識與經驗,延伸擴展至統一的身分安全平台(Identity Security Platform),建構了完整的解決方案。整體範疇涵蓋CyberArk Workforce and Customer Access、Endpoint Privilege Management、Privileged Access Management、Secrets Management、Cloud Security、Identity等六大類別解決方案。這個統一身分安全平台可用於落實零信任控管政策,並採以自動化方式,持續地偵測與回應高風險事件,預防新興應用場景衍生資安風險。
過去,CyberArk長期專注於特權帳號管理,但隨著資安形勢和客戶需求的變化,如今核心業務已經延伸擴大到整體的身分安全領域。謝文俊引述全球身分定義安全聯盟(IDSA)於2022年發布的調查報告指出,84%企業組織在過去一年內遭遇過與身分相關的資料外洩事件。這些事件主要與憑證的竊取有關,無論是透過釣魚郵件或其他攻擊手法。
根據CyberArk最新的《CyberArk 2023身分安全威脅情勢報告》統計,一位企業員工的身分可能產生高達45個機器身分,每一個身分都可能成為攻擊目標。這顯示了新身分增添的資安風險已成為當前重要課題,不僅是IT管理者、開發者的特殊存取權限會被盜取與利用,實際上每個普通身分憑證都存在風險。
根據該報告統計,當前有82%的企業IT為混合雲架構,應用服務逐步部署到AWS、Google Cloud、Azure公有雲環境,以便快速地更新與發布新版。對此,CyberArk開始推動將身分安全融入到開發工作流程,以確保在新的多雲環境下,達到最佳的安全效益。
謝文俊強調,全球對生成式AI(Generative AI)的看重也推動了雲端化發展速度,資安防護機制必須在不影響生產力的前提下使應用場景發揮最大效益。CyberArk的解決方案,如Secrets Management和Cloud Security,已與AWS Secrets Manager和Microsoft Azure Key Vault進行了整合,將有助於企業提升新興應用場景的安全層級。
CyberArk旗下的Red Team近期觀察到新攻擊手法,首先是Session Hijacking(連線劫持),這種攻擊手法能成功繞過多因素驗證,冒用使用者身分。其次是供應鏈攻擊,主要是軟體供應鏈中遭汙染。最後是生成式AI,攻擊者可運用這種技術來產生更有創意的詐騙訊息和釣魚郵件內容。
通過實際驗證的身分安全平台
成立至今已20多年的CyberArk,持續傾聽企業應用需求,不斷地進行技術革新和業務擴張,以應對網路安全挑戰。從早期專注於特權帳號管理(PAM)到現在已全面涵蓋身分安全,CyberArk足以協助企業適應新的IT環境和應用場景。
觀察,企業數位轉型改變了原有IT基礎架構與應用場景,特權帳號的配置方式也變得更為複雜,不單純只有IT管理者擁有,CXO層級亦具備,且足以影響營運決策。大約5年前,CyberArk開始意識到這個變化,並決定重新定義其業務戰略,願景是打造一個先進的平台,運用智能特權控制措施來保護任何地方、任何應用中的身分。
「如今CyberArk身分安全平台,已經在企業用戶環境實際驗證,具備智慧化權限管理機制,可涵蓋所有應用場景,不管是雲端或地端都可部署實施零信任控管、配置最小權限。」霍超文說。
CyberArk身分安全平台的特性之一是具備Secure Web Sessions(SWS)機制,專為提供深度用戶行為監控與身分驗證而設計。這項服務不僅能對由CyberArk Identity保護的網路應用與雲端控制台進行操作活動錄製,還能與第三方身分提供商(IdP)相互運作。
經由SWS保護的網路應用服務能有效抵禦來自終端設備(個人電腦或行動設備)的惡意程式攻擊。此外,SWS使得企業能夠精確追蹤終端使用者的所有活動。從打開應用服務到具體的點擊操作,所有的用戶行為都能被詳細捕捉與記錄。這種高度的透明度,不僅有助於資安稽核,也能讓事件回應處理程序變得更為靈活和即時。
看重企業IT應用開始轉向採用雲服務,CyberArk於4年前投入發展Privilege Cloud,也就是PAM解決方案改以SaaS方式提供。其中包含自攜式金鑰(BYOK),企業可在Privilege Cloud(基於AWS Key Management Services)中管理和撤銷用於加密機敏資料的金鑰。霍超文指出,2023年底Privilege Cloud預計再發布輕量級Session Monitoring元件,將提供遠端桌面通訊協定(RDP)與SSH連線實作隔離、監看、控管機制,可藉此降低端點環境憑證被盜和權限升級的風險。
值得一提的是,CyberArk基於20多年累積資安控管經驗發展的Workforce Password Management,發布不到兩年已有幾千萬用戶數,可說是增長最快速的方案之一。2023年底前,CyberArk將再發布Workforce Password Management行動版,把保護機制延伸到員工手機上運行的App。進而搭配最新的CyberArk Identity Flows,讓IT或資安人員可運用No-Code或Low-Code方式來制定自動化工作流程,以提供靈活的身分協同工作與自動化回應能力,減少維運複雜性以及輔助執行任務。
霍超文舉例,假設有異常事件發生,需要通報IT或資安人員,以判斷事件嚴重性與採取回應行動。該流程即可運用Flows服務,先行定義通報處理程序,包含發送通知技術人員審查,經專業判斷若非為惡意攻擊活動,直接關閉流程即可中斷Flows執行,避免影響工作流程運行。
為協助企業避免遭Session Hijacking,CyberArk採用Chromium瀏覽器引擎設計了Secure Browser。這是一款經過強化、專為企業打造的瀏覽器,其功能延伸了CyberArk Identity Security Platform的網路瀏覽。企業可以使用它來保護對業務開發的網路應用程式、雲端管理控制台以及基於SaaS的工具和服務的訪問,並且能根據每個使用者的需要進行個性化控制。
霍超文說明,Session Hijacking攻擊手法之所以經常被利用,主因是用戶端透過單一網頁登入成功後會產生一個Cookie,攻擊者偷到這個Cookie就有機會竊取帳密。CyberArk Secure Browser的重要安全特性正是無Cookie瀏覽,藉此大幅降低用戶認證後Cookie遭劫持成功的風險。
「須強調的是,CyberArk運用Chromium引擎設計Secure Browser,目的並非為了取代用戶端瀏覽器。」霍超文建議,現有的瀏覽器仍可繼續使用,但若需要登入到機敏性較高的關鍵系統,則可採用Secure Browser來操作執行。
CyberArk Secure Browser的關鍵特性是無Cookie瀏覽,這種創新的安全功能,可防止威脅行為者劫持Cookie藉以繞過多因素身分驗證。Session Hijacking是一個非常具有欺騙性的攻擊手法,因為它極不容易被檢測,從而對企業資料和系統構成高度威脅。CyberArk Secure Browser通過無Cookie瀏覽來解決這一問題,確保所有Session在傳輸過程中都是安全和機密的。