Yahoo奇摩財經 
專家傳真-完善的身分安全策略 對金融產業至關重要
如今,金融機構必須提供更快速和更個人的數位化服務。隨著金融服務業的數位轉型加速,但該產業仍是網路攻擊者的首要目標。在SailPoint近期研究報告《身分安全2023調查:金融服務業聚焦報告》中指出,金融機構過去兩年中,93%皆曾面臨過與身分有關的安全漏洞且資料洩漏事件發生愈來愈頻繁,其中72%受訪者表示,因應在過去兩年中身分有關的資料外洩案例增加,身分安全和完善的防護策略勢將成為金融產業中所有企業的優先投資項目。
■持續且動態檢閱的身分安全管理政策
但是身分安全管理對於臺灣的金融機構安全團隊來說是一項大挑戰,據該研究報告中也發現,金融產業的IT專業人員通常每周需要花費超過四分之一(29%)的工作時間來管理身分的存取權限,至今仍依賴傳統手動流程和電子表格來追蹤用戶身分和存取授權的IT和安全團隊將無法跟上犯罪發展的步伐。除了可能存在不準確、不一致、審計和報告問題外,這些傳統流程還會引入系統漏洞,而網路犯罪分子總是準備好利用這些漏洞。
且在組織內部,複雜的業務執掌和各部門獨立性大幅地阻礙了對角色、責任和數據存取的可見性。為了能確保職責分離(SoD,Separation of Duties)並減少錯誤或欺詐風險,雖然金融機構定義了哪些員工因應業務角色在職能執掌上不能重疊,但是晉升或橫向轉調亦可能會導致「過度授權」或「權限擴張」,這也使得在內部系統上更容易受到攻擊和漏洞利用,無法完成權限最小化的身分安全策略願景。
■第三方機構的非員工身分管理不可忽視
此外,因應新興科技的進展,金融機構常需與不同第三方廠商或夥伴合作,例如合作夥伴、供應商、承包商和關係企業,這些非員工有機會獲得對企業數據和系統的正確存取權限,但在與這些第三方機構合作的帳號生命周期中,金融機構往往忽略了確實地追蹤和管理每個第三方身分。
雖然金融企業在估計風險時會同步評估合作夥伴或供應商的風險,但並不是在個案層面上進行評估,且往往需依賴其供應商來處理入職和管理用戶身分,因此既無法定期重新驗證其用戶身分,也無法在不需要時即時終止其存取權限。這是個非常令人擔憂的情況,因組織沒有對自身與第三方用戶的關係進行集中式檢視,也沒有關於管理身分帳號上關鍵生命週期流程的自動化流程。
■日趨嚴謹和重要的身分安全管理
在金融服務高度監管的產業中,IT團隊同樣面臨著營運和合規性的強大挑戰,因此在SailPoint研究同樣指出,44%決策者認為,控制和可視性是身分安全的最大優勢之一。透過自動化的身分管理方法,IT團隊可以全面瞭解所有身分的存取權限、角色與授權許可,包括像服務帳號、機器人的非人身分,IT團隊需能定期檢測和掃描權限過大或未使用的帳戶,並輕鬆授予或撤銷存取權限以減少風險。
因此在金融服務業邁向數位、雲端、核心轉型的同時,如何避免成為網路犯罪分子的主要目標。一個強大的身分管理策略將能完善的幫助IT團隊,更加良好地管理企業的員工、合作夥伴、承包商和連接設備的存取權限。再搭配全方位的身分安全解決方案,並判別可能為潛在網路攻擊的異常性,且透過強制執行職責分離和存取控制,自動生成稽核報告來標識潛在錯誤,加速權限清查盤點流程,為稽核管理員提供即時權限報告,以證明其符合法規要求才能確保每個身分的安全,如此才能實現全面的可視性和深入的洞察力,更好地管理、授權和保障用戶存取權限。
且SailPoint的報告亦指出,45%的受訪者提到身分安全的其中之一的關鍵優勢就是可以為IT和安全團隊節省大量成本和時間,於新員工入職或是管理第三方外包廠商時,所有的身分都會自動獲得對正確資源的正確存取權限,透過角色正規化主動達到存取權限最小化和發現不當的權限配置,減輕IT團隊的營運負擔。
透過上述方法,金融機構當可因應急速變化的內外在環境與提高生產力,並確保符合金管會和央行的安全性和法律遵行要求。
