CyberArk指出企業內部身分存取憑證數量暴漲 將成為下一個駭客戰場

在勒索軟體盛行的年代，駭客如今已運用資本的力量來加速入侵的過程，甚至在網路上公然招攬知名公司的員工「出賣」公司的帳號密碼，大開城門讓入侵軍團長驅直入。

換言之，企業無法使用過去碉堡戰的思維來治理資安，必須改採現代化的「零信任策略」，來仔細審核每個資料存取動作，是否「真如其人」、「真有其意」。

CyberArk北亞區總監謝文駿表示駭客過去最愛入侵所謂的管理員(Admin)帳號，因為管理員帳號的權限高，可存取各種重要資料，這也是CyberArk特權管理方案可以解決的問題。然而，在企業逐漸轉用混合雲之後，不論是一般員工帳號，或是愈來連結API傳遞資料的帳號，都成為企業資安風險漏洞之一。

CyberArk 2022 身分安全威脅情勢報告清楚揭示了動輒數十萬計的人類和機器身分，正導致「資安債」不斷累積，使公司組織面臨更大的資安風險。舉例來說，每個IT或數位轉型計畫都會增加人員、應用系統和作業程序間更多的連動，因而創造出大量的數位身分，如果這些數位身分缺乏適當管理且存在安全隱患，將形成巨大資安風險。

報告中指出，有68%的非人類或機器人(bots)可存取機敏資料和資產，而有87%的組織將機密資訊存放於DevOps環境的各個地方，且80%受訪者表示開發者通常會擁有更多比正常所需要的權限。

「事實上，企業內部平均的機器人帳號，已經是真人帳號的45倍，」CyberArk大中華區技術顧問黃開印說明道：「多半是在開發專案或是在測試專案時，隨手建立的機器人帳號，卻忘記回收註銷，這也成為現在企業DevOps的資安風險。」

CyberArk 2022 身分安全威脅情勢報告也指出了企業可能會承受「資安債」的代價，是由於沒有對機敏資料和資產的存取進行適當的管控，且缺乏身分安全控管導致風險升高而產生不良後果。

報告中指出，有79%的受訪者同意在過去12個月內，企業重視營運狀況更勝過資安完善，而僅有一半不到(48%)的受訪者在其企業關鍵系統有落實身分安全控管措施。然而，身分存取(credential access)是排名第一的風險領域(40%)，這意味著企業在迎向數位轉型之際，受攻擊面也持續擴大。

CyberArk 2022 身分安全威脅情勢報告對此身分存取風險，也提出現在就能做到的建議：

1. 強化透明度： 85% 的人表示軟體組件清單 (BoM) 可降低軟體供應鏈帶來的風險
2. 導入管理機敏存取(Manage Sensitive Access)的策略：調查中多數CIO和CISO已經導入（或計畫導入）的前三項措施，恰好各被54%的受訪者提及，分別是：即時監控和分析以稽核所有特權連線活動, 運行企業關鍵系統的基礎設施採行最小權限/零信任原則, 及落實企業關鍵系統與連接Internet 設備的隔離以限制橫向移動
3. 將身分安全控管視為推動零信任原則的首要工作：強化零信任原則的三大戰略措施為：工作負載安全、身分安全工具、 資料安全。