相信大家對先前晶圓代工龍頭台積電供應商遭駭客勒索病毒入侵,進一步勒索大量虛擬貨幣的資安事件還記憶猶新。雖然最後結果是虛驚一場,對「護國神山」沒有造成任何傷害。然而,在台灣這樣專業分工,重度依賴供應鏈的產業結構來說,與資安風險緊緊相連的供應鏈權責生命週期管理就越來越受到重視。
事實上,雖然這次台積電沒有遭到駭客勒索病毒的傷害,但是資安廠商 SailPoint 台灣區總經理傅孝淇就對此指出,根據調查數據顯示,在 2019 年有 60% 的企業與超過 1,000 個第三方單位協作。同時自 2017 年以來,非員工與員工的比率增加了 48%,等於現在每五名員工中就有一名非員工被雇用。在此情況下,有 51% 的企業發生的資料外洩事件,調查結果是由第三方單位所導致,這使得供應鏈廠商或第三方單位的權責生命週期管理,成為了當前關鍵的企業資安風險。
傅孝淇強調,相較於企業內員工可以透過人事系統來權責生命週期,供應鏈廠商和第三方單位則因為不能進一步進入對方的後台系統來進行權責生命週期管理,使得對方的權責管理狀況是不是到位,是完全不清楚的狀況。然而,在此情況下又要在相連資料庫提供人員進行工作,這時就只能透過界接軟體,並透過 API 來相互連結使用。只是這樣的成本高昂,許多的中小企業不一定有能力負擔。
▲ SailPoint 台灣區總經理傅孝淇表示,除了做好自身的身分安全與資訊安全管理之外,更應該具有「供應鏈聯防」的概念。
面對以上的情況,SailPoint 就發展出了一套整合管理機制,除了將公司內的員工權責生命週期管理完成建構之外,也將外部供應鏈廠商或第三方單位不論是機器人、內部員工、約聘人員的權責生命週期管理也整合成另一個部分。再將這兩大部分納入到整體管理機制中,進一步在管理內部員工權責的同時,也內管理外部的權責。傅孝淇指出,這套機制企業的好處在於不論使用後台資料庫的人是不是員工,系統都將其視為一個認證的身分,進而納入管理當中。
另外,SailPoint 這套系統也在其中納入人工智慧 (AI) 機制,幫助企業進行權責生命週期管理的規範制定。傅孝淇強調,這個機制針對企業不斷成長的情況有極大的幫助。舉例來說,企業在針對每一個新登錄身分進行權責生命週期管理的規範制定之後,未來可能依需求而有所變動。甚至,有的新登錄身分,也必須在一次重新制定新的權責生命週期管理的規範,這對企業來說耗時又耗成本。所以,藉由 AI 系統可以整合先前的規範,在藉由相關工作的特性,進一步提出新權責規範的最佳建議。之後,經過審核確認與簡單修正,就可以完成工作,迅速且方便。
傅孝淇進一步表示,除了傳統的防火牆觀念,也呼籲各企業也需要注重身分安全管理,像是美國與台灣現正堆動的「零信任架構」,就是以「絕不信任、一律驗證」為概念,在預設所有存取的來源皆為不安全的情形下,對所有存取行為進行驗證,以保護資料安全。而零信任架構的基石正是身分安全的管理,惟有達到身分的全面可視性、遵循最小權限原則,才有可能實現零信任架構的理念。
此外,當前主要還是因為企業間被緊密的數位生態系所聯繫著,就算是中小型企業或是非重要產業企業發生資訊外洩事件,都有可能造成巨大影響。因此,SailPoint 對企業資安風險指出,除了做好自身的身分安全與資訊安全管理之外,更應該具有「供應鏈聯防」的概念,透過打造堅實的非員工身分安全管理系統,降低資安風險、達到供應鏈共好的理想。
(首圖來源:shutterstock)
科技新報粉絲團
加入好友
訂閱免費電子報
