回顧過去市面上盛行的各種資安防護應用,大多集中在端點與網路層面,關於身分與存取管理(Identity and access management,IAM)的需求,並未受到廣泛而強烈的重視。然而,隨著數位化程度提高,一般消費型與商用IT技術的不斷演進,每個人在日常生活與工作的場合當中,可能都需要存取多個應用系統與網路服務,因而衍生了大量的身分(帳號、數位憑證),以及各式各樣的存取權限設定。

這樣的現象,我們看到資安廠商CyberArk的2022身分安全威脅情勢報告有相關證據,根據他們的調查,平均每個員工擁有30個以上數位身分,換言之,一個人平均需存取的應用程式與帳號數量超過30個。但這還只是「人」的身分,若是「機器」的身分(Machine identities),整體數量是人類身分的45倍,而且,單就非人類或機器人程式(bot)的實體而言,有多達68%的比例可存取敏感資料與資產,如此數量與規模的身分與存取管理需求相當龐大。

這份調查結果也提到,目前全球正面臨人類身分與機器身分數量暴增的狀況,每個組織平時可能就有數十萬個身分正在活動。此種現象,主要是下列幾個因素所致:遠端辦公或混合辦公、針對客戶與民眾的新設數位服務,以及日漸增加的委外廠商或供應商。

面對這樣近乎失控的局面,企業需正視在資安防護不足的狀態下,貿然推動數位加速的種種後果,像是:暴露在勒索軟體攻擊的風險將會增高,以及整個軟體供應鏈的漏洞相關問題,CyberArk認為會促使身分相關的「資安債」處於持續增長的態勢。

之所以得出這樣的觀察,則是源於這份調查提出的另一個問題:若以MITRE ATT&CK Matrix for Enterprise的攻擊手法與伎倆而言,企業目前認為風險最高的領域?從調查結果來看,排名第一的滲透手段是身分存取(credential access),有多達4成的IT資安決策者認可;其次是迴避資安防禦(defense evasion)、執行(execution),均占31%;接著是初期存取(initial access)為29%,提高權限(privilege escalation)為27%,這些大多屬於攻擊前期的滲透手法。至於大家比較熟悉的外滲(Exfiltration)、橫向移動(Lateral Movement)則為22%。

由此可知,身分與存取保護確實是提升整體資安的當務之急,也呼應這幾年來許多公部門、企業、資安廠商疾呼的零信任(Zero Trust)概念。

接下來,讓我們看看另一家資安廠商Keyfactor的機器身分管理現況報告。首先是關於機器身分相關的事故嚴重性,有61%的全球IT人員表示,金鑰與憑證的遭竊或受到誤用已成為嚴重的議題,相較之下,該公司2021年調查顯示,只有34%的人如此認為,意味著機器身分的保護與管理日益重要。

不過,比這更嚴重的狀況,則是機器身分冒用與中斷服務事故。今年與去年有超過7成的IT人員表示,因為實務作為不足,導致無法稽核這類事件或難以達成法規遵循要求,而因為上述狀況而導致財務面受到衝擊的比例,也從去年的53%升高到61%。至於因金鑰與憑證遭竊或被誤用導致財務損失,比例則從38%增至40%。

事實上,無法順利稽核機器身分,以及金鑰與憑證遭竊或被誤用的頻率很高,回顧過去兩年以來,平均各自發生4.4次與4.52次。

而在IT人員遠端存取系統的方式上,Keyfactor今年的調查結果顯示,有59%的企業或組織在使用SSH進行操作時,仍選擇帳號、密碼類型的認證方式(2021年是50%),若這些人員執意採用弱密碼或與其他服務相同的密碼,可能都會提升遭冒用的風險;而使用金鑰認證的比例,這兩年來都是52%,使用數位憑證的比例則是44%(2021年是46%)。

專欄作者


熱門新聞

Advertisement