日前數位發展部掛牌搶資安人才,美國國防部喊出將採零信任架構,讓資安議題再次浮上檯面。而面對供應鏈極致分工,加上台灣科技產業近年頻傳收購、併購案,資安專家點出幾點潛在的風險。
第一,在大型企業中,若員工帳號擁有過多「內部資料存取權限」,恐成駭客眼中的肥羊。
美國身分安全治理解決方案公司Sailpoint台灣分公司總經理傅孝淇指出,「『權限』是一種授與之後,就很難管理、收回的東西。」
Sailpoint在台灣就有這樣的客戶案例,在某些較大較複雜的企業環境裡,一個員工的多樣身分可能導致超過七千個權限要被管理。
傅孝淇指出,多數公司是人事(部門)用Excel的方式手動管理不同職權的內部資料訪問權限,但是,當組織職權異動、人事升遷,人事可能會因為職權複雜、人情壓力、作業不及等因素,沒有適切管理單一帳戶的職權,例如移除帳號存取與新工作無關的資料庫權限,這可能會導致單一帳號的資料存取權限漸漸超出工作所需。
傅孝淇說,這次美國國防部所喊出的「零信任架構」,就是要將單一職位所能存取的權限「最小化」。當資安邊境破防已經防不勝防時,企業下一步的資安策略,就是要確保駭客入侵時能「偷」到的東西,不足以對企業營運造成威脅。
傅孝淇指出,未來企業的身分管理將著重於「自動化」,管理範圍將包括人類員工帳號及機器人帳號。
.jpg)
▲SailPoint台灣區總經理 傅孝淇(SailPoint提供)
第二,要注意企業併購前後的組織異動與員工身分管理。
合併或收購(Mergers and acquisitions,M&A)是近年來商場上耳熟能詳的名詞,企業透過收購、併購等方式增加市佔率,或是藉由拆分、獨立事業部,提高敏捷度,已經成為企業提升營運績效的常用方式。根據安永會計師事務所調查,亞太地區於2022年上半年共累積648件交易量,交易金額高達4030億美元。
但企業間的投資收購風潮卻隱含著不為人知的資安風險!勤業眾信風險諮詢服務執行副總經理陳鴻棋指出,投資前,常見因消息走漏或針對性的勒索病毒攻擊,在投資後,母子公司之間因為員工帳號存取權限的異動,職務區隔與權限之間是否平衡,則成為投資後管理的重點。
.jpg)
▲勤業眾信風險諮詢服務執行副總經理 陳鴻棋(勤業眾信提供)
第三,須防範供應鏈上下游公司因合作緊密可能出現的資安漏洞。
半導體產業是很多供應商的產業,新創資安鑄造創辦人毛敬豪日前在《亞灣創新 X 新創大南方》的論壇上以台積電為例,因為緊密的上下游合作,台積電的資安部門不只要管理晶圓廠的資訊安全,更要追蹤高達兩、三千家的供應商的資安等級。
除此之外,傅孝淇表示,台灣供應鏈的分工完善,科技業者的客戶之間多半有競爭關係。確保服務不同客戶的員工之間沒有資料存取的重疊與衝突,不僅是貫徹最小存取權限的零信任原則,也是取信於客戶的重要依據。
