You are currently at: ejtech.hkej.com
Skip This Ads
Don't Miss

身份安全|SailPoint AI管理數碼身份防被駭 揪出「孤兒賬號」堵塞漏洞

By on April 15, 2024

原文刊於信報財經新聞「EJ Tech 創科鬥室

企業處身數碼化時代,人事交接時不僅透過書面文件,亦涉及每個人的「數碼身份」,例如各類應用程式及系統等賬號密碼。美國企業身份管理軟件商SailPoint Technologies有研究報告提到,44%企業的身份安全仍處初期發展階段。該企香港及澳門董事總經理戴健慶指出,超過八成的企業遭受網絡攻擊源於管理不當的員工賬號,當中大部分可預防。

Sailpoint,戴健慶
戴健慶以企業配匙為例,極易為員工批出過高權限。(黃俊耀攝)

設權限應「零信任」

戴健慶表示,大至入職離職,小至內部職位調遷,企業都應具備一套完善的身份安全管理流程。他介紹,針對員工入職、離職時的權限核准問題,SailPoint推出一套人工智能(AI)自動化系統,有助預防人為疏忽。系統能配合公司架構,並因應員工職責自動調整權限,避免存取權限超出職責範圍。此外,亦能自動處理員工的存取權限申請,減少人手操作以提升效率。

現時即使是基層員工也擁有多個數碼身份,隨時手執十數個賬號密碼。戴健慶以鎖匙作比喻,不少公司辦理入職手續時,可能為求省事,而直接參照另一同事,為新員工配備一份同款鎖匙,期間極易誤批過高權限。當員工職位變動時,其鎖匙理應隨之變化,惟很多公司存在疏忽,令鎖匙數量只增不減。同事離職後,其鎖匙往往不會立即被回收、銷毀,這類「孤兒賬號」,最易令黑客有機可乘。

Sailpoint,戴健慶
戴健慶形容,網絡攻擊、數據洩漏就像感冒,沒有人可完全免疫。(黃俊耀攝)

戴健慶形容:「網絡攻擊、數據洩漏就像感冒,沒有人可以完全免疫。(感染)只是時間問題,唯一分別在於響應速度。」所謂「零信任」(Zero Trust)原則,主要概念是「從不信任,總是驗證」,在網絡安全世界愈見普遍。他認為,即使用戶或裝置已通過驗證,所擁有的權限如超過應有標準,零信任便沒有存在意義。

VPN存隱患須嚴格把關

他解釋,黑客入侵公司系統時,往往利用離職員工賬號,甚或創造新賬號,並設法提升其權限。再採取橫向移動(Lateral Movement)策略,即「地氈式」搜索箇中漏洞。SailPoint所開發的技術,能為存在漏洞快速定位,一旦發現賬號異常,就立即停用有關賬號,務求切斷黑客進攻路徑。

此外,為保障內部資料,不少公司設有內聯網(Intranet),倘若離開公司範圍,便要透過虛擬私人網絡(VPN)登入。戴健慶直言,VPN是一大漏洞,包括召車平台Uber在內的企業,都曾遭受類似攻擊,其實這類風險可透過嚴格把控數碼身份便能提前作出防範。

採訪、撰文:周泳彤

延伸閱讀:

身份安全|港企網安水平落後歐美

支持EJ Tech

如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們