隨著各產業數位化程度逐年提高,愈加突顯身分管理(IAM)的重要性。即便資安控管策略演進到現代提倡的零信任,亦是如此。只是數位化世界的身分管理,不再侷限於人類使用者,而是逐步擴展到涵蓋機器的範疇。例如特權存取管理(PAM)知名廠商CyberArk,便正在為身分安全平台(Identity Security Platform)整合收購取得的Venafi機器身分管理技術。
該公司提出CORA AI,以協助人類與機器的身分資料篩選、分析異常,執行威脅偵測與回應,並能調整具體的存取政策來達到風險控管的建議。不僅只是單純提高工作效率,同時亦可強化所有身分類型的安全性。
CyberArk亞太區售前技術副總裁霍超文指出,身分管理在資訊安全領域正轉向更全面的角色導向。過往企業或組織主要聚焦於人類使用者的身分,如業務部門員工、IT人員、研發人員等,但隨著雲端服務採用數量增長、物聯網應用場景日漸普及,多出了各種機器、裝置、應用程式以及自動化流程所使用的帳號或憑證,不同的角色皆有特性、資安風險與合規性需求,皆須納入身分安全平台進行控管。
為了實現更完整的零信任控管與身分安全控管策略,CyberArk收購了專精於憑證管理的Venafi。透過Venafi的憑證生命週期管理、公開金鑰基礎建設(PKI)、物聯網身分管理與程式碼加密簽章功能,與CyberArk的秘密資訊管理技術有效結合,可協助企業更妥善防範機器身分被不當濫用與洩漏,同時顯著提升整體安全性並減少昂貴的停機風險。藉由將多元的機器身分安全機制整合為單一解決方案,無論選擇SaaS或混合部署模式,都能協助各種規模的組織更加迅速地降低雲端環境中所面臨的安全威脅。
Venafi所提供的憑證管理技術增進了CyberArk原有身分管理平台的防護力,使其從原先專注於密碼、API Key與Secrets管理,進一步拓展至憑證領域,讓各種身分都能以端到端的方式整體防護。特別是當人類身分與機器身分已密不可分,透過整合Venafi的能力,CyberArk可提升身分安全平台完整性。
企業普遍欠缺機器身分特權管理
根據《CyberArk 2024威脅情勢報告》中指出,有97%的台灣企業在過去一年中至少發生過兩次以上與身分相關的資料外洩事件。此外,49%的台灣企業表示,其半數以上的機器身分能直接存取機敏資料。這些數據顯示,當機器身分的數量激增且多具高度權限時,組織內的資安風險大幅提升。
霍超文進一步說明,調查報告中亦提到,58%的台灣企業預估未來12個月內,身分數量將增加3倍以上,遠高於全球平均的2.4倍成長率。此高速增長意味組織必須更審慎面對安全控管挑戰。同時,調查發現64%的台灣企業對於特權用戶的定義僅限於人類使用者,僅有36%把所有擁有機敏權限的人類或機器身分一律都定義為特權用戶。此差異顯示,多數企業尚未對機器身分的特權管理給予足夠重視。
CyberArk亞太區售前技術副總裁霍超文指出,Venafi Control Plane提供機器身分識別與控管機制,同時具備加密靈活性,讓企業能夠快速遷移至後量子密碼學(PQC)及最新的機器身分發行技術。
除了身分定義與管理策略的落差,多雲生態也在無形中加劇風險。CyberArk 2024威脅情勢報告調查指出,80%的台灣企業預計在未來12個月內使用三家以上的雲端服務供應商,而此多雲環境被受訪者視為引發身分相關攻擊的第二大因素。當雲端服務供應商的數量與多樣性上升,身分管理的複雜度同步提高,使得機器身分安全問題更加難以掌控。
身分安全平台內建CORA AI
AI技術已經在資安領域中展現高度影響力,不僅應用於防禦,更早已成為攻擊者有效利用的工具。霍超文觀察,較顯著的方式是自動生成惡意程式碼,且生成速度極快與版本數量近乎無上限。由於這些程式碼是由機器自動產生,攻擊者可透過不斷嘗試,精準創造出最符合需求的惡意程式,藉此繞過防病毒軟體、EDR等防護機制的偵測。
他進一步提及,對攻擊者而言,繞過所謂的AI道德規範限制亦非難事,在國際知名資安研討會與論壇(如Black Hat)中,已有多種教學與技術手段展示如何利用各種方式讓AI執行不法任務,甚至可自行下載與部署改造後的AI模型,毫不費力地達成原本應受限制的惡意行為。
與此同時,防禦方也開始積極採用AI技術來提升整體安全防護成效。多家業者如CyberArk、微軟、Palo Alto Networks等國際資安大廠,皆運用AI技術以強化監控與分析能力。就CyberArk來看,霍超文說明,日前推出的CORA AI即是整合在身分安全平台(Identity Security Platform)之上的AI應用,透過分析所有使用者與機器的身分行為,快速識別出高風險活動並自動化地發掘異常狀況。如此一來,安全人員無需花費大量時間逐行檢閱日誌,由AI迅速、準確地標示出潛在威脅,並透過觸發密碼更改或重新登記MFA等自動化措施,即時降低風險。
此外,身分安全領域中,機器身分的行為模式往往明確且穩定,一個應用程式即便運行多年,其權限與操作範圍理應維持不變。若有惡意者竊取機器身分並從事異常操作,AI將能迅速察覺這類行為模式的偏差,並自動發出警示或觸發相應防禦手段。同時,AI模型亦可改善使用者體驗與管理效率。IT管理者不必再透過繁瑣的操作介面或花費大量時間學習平台設定,只需以自然語言(中文或英文)對平台提出查詢或指令,便可輕鬆獲得特定員工或機器近期活動記錄,並立即生成所需報告。如同在身分安全平台上引進類似ChatGPT的互動模式,使IT管理者更直覺地控管身分安全生態系統。
增強憑證生命週期管理
CyberArk收購的Venafi,可說是憑證生命週期管理方案的先驅。霍超文說明,從憑證的產生、使用記錄、更換到退役,Venafi可完整涵蓋整個管理流程。之後,Venafi為了促進業界廣泛採用這種管理概念,將部分智慧財產權開源,使相關技術日益成熟,進而形成一套被全球廣泛採用的憑證管理基礎架構。
隨著物聯網裝置數量激增,每個裝置在零信任架構下都必須獲得認可並綁定一組憑證,以確保擁有獨立且可驗證的身分。因此未來機器身分控管複雜度勢必大幅提升,一旦憑證失效,系統可能將停擺並造成營運中斷。霍超文強調,藉由CyberArk與Venafi整合,全面掌控憑證使用狀況,確保不再因憑證過期而導致營運中斷,確保數位應用場景得以安全穩定地運行。