這個故事並不陌生: 大型企業遭遇資料外洩。 有 43% 是內部人士所為。1 其他部分則是因為粗心大意的員工把筆記型電腦放在不該留的地方。 或是,惡意威脅者破解虛弱易駭密碼或預設的管理用使用者名稱所致。 不過,外洩事件最終還是發生了,並且結果是一樣的: 損失金錢、時間和聲譽,企業則是急忙趕著及時補強防禦措施,以防下一次的攻擊。

整體而言,在 2019 年上半年就有超過 41 億筆的資料記錄受到資料外洩事件的影響。 至於遭到曝光的資料本身,數量最多就是電子郵件 (佔了外洩資料的 70%),其次是密碼 (65%)。2

那麼,問題是出在哪裡呢?

網路周邊幾乎不復存在。 保護企業的傳統方法已經不再勝任。 員工不再在辦公室區域內工作,而是在全球各地的遠端地點工作。 此外,網路罪犯現在更以這些員工為攻擊目標,因為經由他們取得攻擊破口比滲透網路周邊來得簡單得多。 跟 512 位元的雜湊函式比起來,員工非常容易被破解。 在多數大型企業組織中,被允許進入系統的使用者數量有多少,駭客能夠進入的端點數量就有多少。

簡言之,請把員工想像成新的周邊,把身分當成新的防火牆。

61% 的安全與技術領袖對於以 WFH 員工為目標的攻擊行動感到擔憂。3

進入途徑眾多

安全性領導者現今面臨的部分問題,不僅在於其系統架構中的每位使用者都是存取點,還在於駭客有許多方法可以操縱這些使用者。

社交工程

從 Twitter 和 Facebook 到 LinkedIn 和 Whatsapp,全世界熱衷參與社交媒體的人為數眾多。 這些社群網站帶來了溝通的新時代,使我們可以輕鬆地互相交流。 但是,它們也讓我們每個人更有機會洩漏更多的資訊。 惡意威脅者可能會不經意地問:「你上次那筆下單買的東西結果如何?」或故意傳訊說「哇,你的這些照片太可怕了」,引誘我們按下惡意程式連結。我們現在很容易無意之間就洩露資訊。 有時候,光是透過社交媒體而曝光的簡單資訊,如人際連結,就足以遭到駭客利用。

網路釣魚

對我們幾乎所有人而言,電子郵件仍然是商務溝通的主要形式,但我們每天淹沒在各種訊息之中,以至於要發現假郵件變得極度困難 雖然有時可以透過錯字和仿造標誌一眼看出一些技巧不嫻熟的駭客手法,但也有其他的網路釣魚看起來就像真的一樣,讓人忍不住點選。 只要點一下,即為惡意人士開啟了入侵大門。

員工疏忽

對於將筆記型電腦任意隨處擱放,或是鍵盤上便條貼寫滿所有帳號密碼這種錯誤行為示範,我們早已司空見慣。 然而,我們還是在時下各類公司組織中看到共用密碼憑證這種常見卻危險的作法。

只要其中一個曝露點遭到入侵,就會造成問題。 而每個曝露點都與一個人 – 亦即一個身分 – 有關。 人為因素直接或間接造成資訊遺失,是最常發生的狀況,無論其本意是惡意或無心。

47% 的人在工作和個人帳戶間使用重複的密碼。4

並非所有方法都能保證安全

正如駭客有多種方法可以找到入侵途徑,各類公司組織也已經建立了許多方法來加強防護。

網路安全

雖然增加投資或堆疊更多防火牆可能不是公司組織的優先考慮事項,但網路安全仍是安全基礎架構的重要組成部分。

端點安全

時下的商業活動,仰賴諸如智慧型手機、筆記型電腦和平板電腦等設備。我們必須繼續保護這些設備的安全。 然而,既有的端點安全機制,僅僅保護了儲存在這些設備上的資料。標準功能包括多因子驗證、資料加密和自動裝置抹除機制。 其中不包括從這些智慧型設備存取敏感資料、或新增額外驗證程序以確保由合適的人員存取該類資料的原則。

資料安全

我們的資料已從資料中心轉移到雲端,因此我們必須改進方法以因應這個不斷變化的環境。 我們創建了很多資料 (有些非常敏感),卻隨意到處儲存。 類似 Oracle 和 SAP 的結構化系統,不再是金融資料唯一存儲的地方。 該等資料,還會存在於簡報檔案、電子郵件以及雲端中。 這些資料全部都需要加以保護。

身分

身分管理是現今安全性議題的核心。這不單單僅是授與員工應用程式、系統和資料存取權的任務而已:這是一個更大、更複雜的問題。 這涉及到管理與治理那些可存取機密敏感資料的所有數位身分,無論那些資料是儲存在系統、雲端應用程式、或是檔案與資料夾中。

IDG 預估,到了 2022 年時,93% 的資料都會變成非結構化資料。5

身分攸關安全

有些人可能認為,身分只與管理企業中某些應用程式或系統的存取權相關。 但是身分不僅只跟存取權有關;它的作用遠不止於此。 身分的應用超過網路,直接與端點管理和資料安全息息相關。 它從組織的安全基礎架構各部分取得資訊,並將所有資訊連結在一起。

企業今天所擁有的系統、應用程式和資料比以往都還多,並且每一部分是相互關聯的。 企業內的使用者包含員工、承包商、供應商、合作夥伴和客戶。 還有這些使用者需要存取的資源。 在這個巨大的網絡之中,組織內的各種系統、應用程式和資料,以及其相互之間的鍵結,都會有一個身分附加其中。

員工、合作夥伴、供應商、承包商等等角色在企業架構下所做的每件事情,都藉其身分,為其活動賦予了內涵。 雲端與本地端應用程式。 連線與離線裝置。 特殊存取權限管理。 結構與非結構化資料。 有了這些內涵,組織就能全盤檢視、全盤治理、並對每個人賦權。

結果是: 如果惡意威脅者選擇的入侵手段,就是針對所有直通企業資源的使用者,那麼您實行安全措施的最低底限,就是保護這些使用者的身分了。

  1. Infosecurity 雜誌,43% 的資料外洩事件由內部的威脅造成 (Insider Threats Responsible for 43% of Data Breaches)
  2. https://www.forbes.com/sites/daveywinder/2019/08/20/data-breaches-expose-41-billion-records-in-first-six-months-of2019/#60387854bd54
  3. https://www.csoonline.com/article/3535195/pandemic-impact-report-security-leaders-weigh-in.html
  4. SailPoint,2018 年市場脈動調查
  5. DarkReading,非結構化資料: 看不見的威脅 (Unstructured Data: The Threat You Cannot See)

瞭解 SailPoint 如何幫助您的企業。

*必填欄位