人人握有多重身分的資安防護需求

回顧過去市面上盛行的各種資安防護應用，大多集中在端點與網路層面，關於身分與存取管理（Identity and access management，IAM）的需求，並未受到廣泛而強烈的重視。然而，隨著數位化程度提高，一般消費型與商用IT技術的不斷演進，每個人在日常生活與工作的場合當中，可能都需要存取多個應用系統與網路服務，因而衍生了大量的身分（帳號、數位憑證），以及各式各樣的存取權限設定。

這樣的現象，我們看到資安廠商CyberArk的2022身分安全威脅情勢報告有相關證據，根據他們的調查，平均每個員工擁有30個以上數位身分，換言之，一個人平均需存取的應用程式與帳號數量超過30個。但這還只是「人」的身分，若是「機器」的身分（Machine identities），整體數量是人類身分的45倍，而且，單就非人類或機器人程式（bot）的實體而言，有多達68％的比例可存取敏感資料與資產，如此數量與規模的身分與存取管理需求相當龐大。

這份調查結果也提到，目前全球正面臨人類身分與機器身分數量暴增的狀況，每個組織平時可能就有數十萬個身分正在活動。此種現象，主要是下列幾個因素所致：遠端辦公或混合辦公、針對客戶與民眾的新設數位服務，以及日漸增加的委外廠商或供應商。

面對這樣近乎失控的局面，企業需正視在資安防護不足的狀態下，貿然推動數位加速的種種後果，像是：暴露在勒索軟體攻擊的風險將會增高，以及整個軟體供應鏈的漏洞相關問題，CyberArk認為會促使身分相關的「資安債」處於持續增長的態勢。

之所以得出這樣的觀察，則是源於這份調查提出的另一個問題：若以MITRE ATT&CK Matrix for Enterprise的攻擊手法與伎倆而言，企業目前認為風險最高的領域？從調查結果來看，排名第一的滲透手段是身分存取（credential access），有多達4成的IT資安決策者認可；其次是迴避資安防禦（defense evasion）、執行（execution），均占31％；接著是初期存取（initial access）為29％，提高權限（privilege escalation）為27%，這些大多屬於攻擊前期的滲透手法。至於大家比較熟悉的外滲（Exfiltration）、橫向移動（Lateral Movement）則為22％。

由此可知，身分與存取保護確實是提升整體資安的當務之急，也呼應這幾年來許多公部門、企業、資安廠商疾呼的零信任（Zero Trust）概念。

接下來，讓我們看看另一家資安廠商Keyfactor的機器身分管理現況報告。首先是關於機器身分相關的事故嚴重性，有61％的全球IT人員表示，金鑰與憑證的遭竊或受到誤用已成為嚴重的議題，相較之下，該公司2021年調查顯示，只有34％的人如此認為，意味著機器身分的保護與管理日益重要。

不過，比這更嚴重的狀況，則是機器身分冒用與中斷服務事故。今年與去年有超過7成的IT人員表示，因為實務作為不足，導致無法稽核這類事件或難以達成法規遵循要求，而因為上述狀況而導致財務面受到衝擊的比例，也從去年的53％升高到61％。至於因金鑰與憑證遭竊或被誤用導致財務損失，比例則從38％增至40％。

事實上，無法順利稽核機器身分，以及金鑰與憑證遭竊或被誤用的頻率很高，回顧過去兩年以來，平均各自發生4.4次與4.52次。

而在IT人員遠端存取系統的方式上，Keyfactor今年的調查結果顯示，有59％的企業或組織在使用SSH進行操作時，仍選擇帳號、密碼類型的認證方式（2021年是50％），若這些人員執意採用弱密碼或與其他服務相同的密碼，可能都會提升遭冒用的風險；而使用金鑰認證的比例，這兩年來都是52％，使用數位憑證的比例則是44％（2021年是46％）。