身份安全|SailPoint AI管理數碼身份防被駭 揪出「孤兒賬號」堵塞漏洞
原文刊於信報財經新聞「EJ Tech 創科鬥室」
企業處身數碼化時代,人事交接時不僅透過書面文件,亦涉及每個人的「數碼身份」,例如各類應用程式及系統等賬號密碼。美國企業身份管理軟件商SailPoint Technologies有研究報告提到,44%企業的身份安全仍處初期發展階段。該企香港及澳門董事總經理戴健慶指出,超過八成的企業遭受網絡攻擊源於管理不當的員工賬號,當中大部分可預防。
設權限應「零信任」
戴健慶表示,大至入職離職,小至內部職位調遷,企業都應具備一套完善的身份安全管理流程。他介紹,針對員工入職、離職時的權限核准問題,SailPoint推出一套人工智能(AI)自動化系統,有助預防人為疏忽。系統能配合公司架構,並因應員工職責自動調整權限,避免存取權限超出職責範圍。此外,亦能自動處理員工的存取權限申請,減少人手操作以提升效率。
現時即使是基層員工也擁有多個數碼身份,隨時手執十數個賬號密碼。戴健慶以鎖匙作比喻,不少公司辦理入職手續時,可能為求省事,而直接參照另一同事,為新員工配備一份同款鎖匙,期間極易誤批過高權限。當員工職位變動時,其鎖匙理應隨之變化,惟很多公司存在疏忽,令鎖匙數量只增不減。同事離職後,其鎖匙往往不會立即被回收、銷毀,這類「孤兒賬號」,最易令黑客有機可乘。
戴健慶形容:「網絡攻擊、數據洩漏就像感冒,沒有人可以完全免疫。(感染)只是時間問題,唯一分別在於響應速度。」所謂「零信任」(Zero Trust)原則,主要概念是「從不信任,總是驗證」,在網絡安全世界愈見普遍。他認為,即使用戶或裝置已通過驗證,所擁有的權限如超過應有標準,零信任便沒有存在意義。
VPN存隱患須嚴格把關
他解釋,黑客入侵公司系統時,往往利用離職員工賬號,甚或創造新賬號,並設法提升其權限。再採取橫向移動(Lateral Movement)策略,即「地氈式」搜索箇中漏洞。SailPoint所開發的技術,能為存在漏洞快速定位,一旦發現賬號異常,就立即停用有關賬號,務求切斷黑客進攻路徑。
此外,為保障內部資料,不少公司設有內聯網(Intranet),倘若離開公司範圍,便要透過虛擬私人網絡(VPN)登入。戴健慶直言,VPN是一大漏洞,包括召車平台Uber在內的企業,都曾遭受類似攻擊,其實這類風險可透過嚴格把控數碼身份便能提前作出防範。
採訪、撰文:周泳彤
延伸閱讀:
身份安全|港企網安水平落後歐美
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
Related Posts
POPULAR POSTS
-
南韓揭新型詐騙手法|黑客鑽蘋果提貨漏洞行騙 主謀疑身處內地?
-
醜果翻身|港企回收醜果減碳排 研冷凍術製果乾
-
華為獨食中國市場?|iPhone 首季銷量跌19%華為反增69.1%
-
AI 砌圖|Photoshop AI升級 生成影像可微調
-
香港資訊及通訊科技獎|HKICT Awards今起接受報名 今年增最佳AI應用獎
-
軟銀將開發日語AI模型|投資76億港元 提升生成式AI算力
-
4.22走塑|紙飲管VS塑膠飲管?紙飲管好易淋?「走塑」解決方法是什麼?
-
Perplexity融資5億|AI搜尋引擎初創成獨角獸 貝索斯輝達跟投
-
北上消費住宿app|3款住宿app推薦 攜程、去哪兒哪個好?內有淘寶訂酒店詳盡教學!
-
AI手機必更強大(林國誠)
