零信任架構當紅 身分管理已成企業資安最小單位

儘管勒索軟體、網路釣魚的手法十分老套，但企業受到駭客攻擊事件仍層出不窮，專家指出，無論是哪一種攻擊手法，事實上駭客的最終目的都在於取得「權限」，並循跡探入企業內部，等待適當時機出手，因此最大的資安破口往往來自於「身分」。SailPoint台灣區總經理傅孝淇指出，身分管理可以說是資安的基礎，以最小權限(PoLP)為原則的零信任架構(Zero Trust)更已是當前歐美地區相當看重的資安策略，美國國防部近日也喊出5年內要全面導入零信任架構。不過台灣當前對於身分管理概念還在起步的階段，需要加把勁。

據CyberArk 2022身分安全威脅情勢報告中指出，企業在加速IT或數位轉型計畫時都會增加人員與應用系統、作業程序之間更多的連動，因而創造出大量數位身分，每個企業產生的人類和機器身分動輒數十萬個，而平均每個員工擁有30個以上數位身分、機器身分數量平均更是人類的45倍，可想而知，若身分未做到妥善管理，將會帶來巨大的資安風險。駭客深知，在這些身分存取權限未受到充分監督的情況下，身分就是企業內最脆弱、可以助其輕易取得企業關鍵機密的資產。

未妥善管理的身分權限，會發生幾種情形，傅孝淇分享，例如員工升遷但權限沒有跟著調整，造成前職位的工作權限門戶洞開而本人卻不自知，這通常是駭客最容易掌握的管道之一。另外，像是離職員工的孤兒帳號也容易成為駭客鎖定的目標。其中多重身分的管理更是令企業防不勝防，傅孝淇以某竹科企業舉例，光是一個員工就多達7,000個權限，而令人難以想像的是，多數台灣企業對於身分管理作業仍是以手動操作為多，不僅效率慢，也容易出錯，甚至有時礙於人情壓力而沒有適切管理。

傅孝淇認為，身分管理必須進一步結合可視化與自動化，一來可以在攻擊事件發生時快速掌握情形，包括資產損失、權限破口來源等，二來可以在第一時間就自動關閉權限存取，「畢竟當下你是在跟駭客賽跑，而身分管理是在確保當資安攻擊事件發生時能夠在最短時間內保護資產」。

包括近年相當受歐美地區看重的資安策略「零信任」，也是以最小權限為原則，在確認驗證其身分前，任何使用者、設備、資源或應用程式都不應該被予以信任。美國國防部近日更表示要在5年內全面將所有網路轉換為零信任架構，並即將公布美軍零信任架構網路的戰略文件。雖然5年時間相當緊迫，但隨著中俄近年在網軍和資訊戰上的大量投資，已讓美軍感到巨大壓力，因此必須在最短時間強化網路安全能力。

隨著資安威脅日漸加劇，從政府到企業的下一步資安策略，顯然將鎖定以身分為基準，並將其視為最基礎的資安平台。

台灣科技業佔有全球重要地位，過去多服務跨國企業的美國身分安全治理廠商SailPoint近年也開始將市場重心聚焦台灣，傅孝淇也透露，特別是以高科技產業群聚的竹科地區，已有不少企業是接獲終端客戶的要求，而開始展開資安策略的優化與部署，顯見資安已是許多企業繼ESG話題後，另一個需求缺口。

但在身分安全議題上，台灣仍在起步階段。傅孝淇表示，目前台灣企業遇到的最大問題是權責歸屬不明確，缺少專責單位，且目前台灣企業在資安策略的規劃通常是依附在資訊部門，但企業往往寧願投注更多資源在能夠創造商業收益的業務上，反而忽略資安維運的重要性。如今全球資安意識抬頭，身處全球供應鏈核心的台灣，恐怕得再加把勁了。