在由互聯網和 IT 技術驅動的當今世界,電子金融已經進入了百家爭鳴的璀璨年代。智能設備及 4G 網絡的迅速普及,亦進一步推動了這一進程。由於金融資訊的敏感性,這種全面的「網絡化」趨勢為金融業的保安能力帶來了更嚴峻的挑戰,否則出現任何問題,都會對企業形象帶來負面影響,導致客戶流失。
香港警察早前發表就香港在過去幾年有關科技罪案犯罪數據。根據警方數據顯示,在 2015,有關本港電腦科技罪案的數字便高達 6,862 宗,涉及金融銀行業的損失金額則高達 18 億 2 千 9 百萬港元。而有關數字在近六年更有上升趨勢。近年來,在全球範圍內由於特權用戶存取管理出現疏漏而導致的安全事故尤其引人注目。2014 年 6 月,黑客設法拿到了某英國雲服務商的亞馬遜賬戶的密碼,並以系統管理員的身份自行建立多個假帳戶及網絡後門,在一小時之內便毀掉了這家公司的 IT 架構——包括伺服器、應用程式甚至數據備份,迫使該公司停運數日。
港府發文敦促企業關注特權用戶管理
特權用戶管理問題也引起了港府的重視。為配合各地法規及審計的需求,促使企業提升對控制及管理特權用戶權限及活動的需求。香港證監會及金融管理局便曾於今年二月向各機構發信,敦促企業必需關注特權用戶的管理問題,並提升保安管理,否則有關方面將會採取行動以保障用戶的利益。
所謂特權用戶,人們通常的理解是組織內部直接負責系統和網絡管理的人員,因而很多人將特權用戶管理稱為「內部威脅」。然而,特權用戶其實還包含企業外的人士,如供應商、業務合作夥伴以及其他被授予組織內部高級存取權限的人員。
在雲運算和虛擬化時代,特權用戶更有可能不是傳統的 IT人員,他們可能是在雲上協助客戶購買雲端服務的客戶代表,甚至可能是某些自動化的配置和資源調配工具。有鑑於他們的隱蔽性和所擁有的高級權限,管理特權用戶的行為便成為資訊保安不可忽視的一環。
特權管理提升網絡保安
透過特權管理方案,企業將可進一步提升現有系統的保安能力,並能讓企業客戶控制及保護 IT 管理員或其他特權用戶免受外界攻擊,也可以防止因為內部人員的錯誤或惡意濫用權限所導致的損失。
特權用戶管理方案的使用概念非常簡單,系統可以配合現有的 IT 系統環境,提供一個強大及具有延展性的簡易管理方案。該方案可以用戶身份為中心,並為管理人員提供一個授權中心點,避免系統因為帳戶被盜、被入侵或被誤用而出現的風險。管理人員可通過共用管理帳戶而限制網絡權限,以這種集權中央的共用管理模式提高管理人員的靈活性,卻又可以減低管理人員負擔,同時提升網絡的保安能力,可謂一舉數得。
網絡管理人員可以更專注於管理伺服器系統的存取,同時又可以有效管理及限制管理員的職權範圍,特別是針對一些高階用戶修改程式的權限、操作檔案登記以至登記配置的存取工作,這種解決方案都可透過採用多項控制措施減低特權用戶遭受惡意軟件攻擊以或者保安漏洞以至殭屍網絡所帶來的風險,也堵截了黑客採用網絡迴避的方式避開傳統保安程式的偵測,大大提升系統網絡保安的能力。這種保安管理方式尤其適合講求絕對網絡安全的銀行金融業等,越來越注重網上業務的機構採用。
在特權用戶管理方面,CA Technologies 已經將早前收購的 Xceedium 的能力融合近期以身份驗證為中心的安全解決方案中,向用戶提供綜合性的特權存取管理—— CAPrivileged Access Management。這一解決方案能夠為混合雲和企業用戶提供基於網絡和主機的管控,讓用戶減低帳戶盜竊或被入侵的風險,讓用戶能安心管理自己業務運作。
假如說是系統是公司營運的基石,程式溝通是系統的橋樑,系統保安管理則為系統基石的守門人。作為企業用戶及網絡服務供應商,則必須確保這位守門人能夠時刻保持運作安全。時至今天,特權保安管理方案已成為企業網絡安全管理的新星。隨著網絡威脅風險不斷提升,企業也需要適當展現其風險管理能力。對香港維持環球金融業的領導地位,這種嚴格規定實在不可或缺。
作者:戴文忠
CA Technologies 大中華地區保安及 API 管理業務總監
