流程自動化身分安全五步驟 加速金融數位轉型

就在短短幾年前，當機器人流程自動化（RPA） 迅速崛起時，許多人都認為它是金融機構期待已久的終極技術解決方案。CyberArk 全球技術部門資深主管 Brandon Traffanstedt 指出，機器人流程自動化可讓金融機構在提高效率及靈活性的同時確保合規並降低風險。但隨著它的演進發展，資安挑戰也變得日益複雜。

CyberArk助益金融業縱深資安防禦 保全企業及客戶權益

CyberArk為特權存取管理領域的市場領導廠商，結合了CyberArk Labs全球客戶經驗，為金融業總結四種快速降低資安風險的作法，使企業免受任何不易察覺的攻擊：

• 防止企業身分憑據被盜竊或洩漏
• 不再依賴過往的用戶名稱及密碼
• 檢測並阻止橫向或縱向移動
• 識別與身分特權相關的異常狀況​

數位身分治理 監理科技五箭齊發

• 登入數位前 – 風險感知，驗證必行（自適應多因子驗證）；

近年國內金融企業陸續發生用戶憑據(Credentials)被盜用的資安事件，相關事件證明傳統用戶憑據驗證，已無法確保用戶的身分安全。零信任安全原則「never trust, always verify 永不信任，先行驗證」，企業對內、外部用戶登入數位服務前，行使多因子驗證保護是勢在必行。根據國外資安報告指出除了應用服務以外，在授予終端、網路、伺服器等登入的存取權，並通過感知個人用戶的風險、歷史行為情境及存取條件等自適應多因子驗證制度，是更安全及有效遏止憑據被盜及網路釣魚所引起的資安威脅及金錢損失。

• 進入數位時 – 智能分析，威脅絕跡（AI-Powered Threat Analytic）

資安威脅無處不在，縱使企業內部建構並實施各類資安防禦手段，但百物也有一疏。透過智慧化及能提出稽核能力的管理方式，從龐大訊息流來源包括 SIEM 及網路封包等數據，通過擁有自我學習能力的演算法，關聯各種事件並指出威脅等級。使威脅偵測能力也能適應不斷變化的風險環境，發掘惡意特權活動，協助企業在資安攻擊的初期能察覺入侵跡象，偵測出異常並發送預警，取得先發制人的先機。

• 機器人監管 – 身分管控，驗身核實（Secret Management）

透過 RPA 憑據的自動化、集中式管理，您不需要手動分配、管理及更新機器人執行任務所需的憑據，所有寫死的特權憑據已從機器人腳本中移除，並改換成可調用自動輪換憑據的 API 請求，而這些憑據保存在一個安全的中央儲存庫內。這可確保安全策略措施的一致實行，例如憑據輪換、多因子驗證、密碼唯一性及複雜程度要求，以及在特定條件下停用特權憑據等。最佳實作還包括賦予機器人各自的唯一身分、憑據及權利，確保符合不可否認性及職責劃分、分離，此外，限制機器人對完成工作所需以外的應用程式和資料庫之存取權。這便是對機器人實行最小特權原則，就像限制人類用戶僅擁有執行其工作所需的最小存取級別或權限一樣。

• 離開數位後 – 落實管理，簡化查核（Web Based）

數位轉型，企業使用軟體即服務(SaaS)滿足各種的業務需求，用戶通過身分驗證並登錄使用其應用服務。網頁應用服務通常包含敏感數據，例如企業財務、人資記錄、客戶信息和知識產權。用戶操作僅受其在應用服務中的角色限制。這意味著具有特權訪問權限的用戶可以查看、修改或刪除敏感數據或授予自己更高的權限。絕大多數服務供應商不提供其用戶操作的詳細記錄及稽核軌跡。當資安事件或威脅的發生，資安人員將會無所適從。所以資安人員需要更多可視化的稽核檢查點及有效率地限制資訊外洩手段，也需要思考如何落實用戶使用這類重要的應用服務的資安管理策略。

• 資安端點治理 – 應用管理，最小授權（Endpoint Privilege Management）

端點是「容易攻擊的目標」並且經常受到攻擊，儘管企業員工受過眾多資安教育訓練，但仍然很容易被釣魚攻擊上當、系統遭受惡意或勒索程式等威脅。根據各國資安專家及組織建議，在端點上針對應用程式的安裝及執行能進行管理，並移除及管理端點的最高權限是最有效的防治勒索、憑據被竊及未知攻擊的安全策略。而具備細膩及有效率的應用程式安全策略管理也是對IT及資安人員的營運帶來為方便性及提昇效率。

金融機構接納開發安全維運概念 才能確實發揮 RPA 能力

所有身分都可能成為攻擊途徑，侵害組織最寶貴的資產。一致性身分安全策略及集中式憑據管理解決方案，可消除舊有的資安障礙，讓實體和網路邊界消融瓦解，導入CyberArk與風險緩解教戰手冊可幫助您儘快識別及減輕對身分安全缺漏造成組織最大潛在風險與威脅。