創意經濟時代,不少企業均走向數碼轉型,採用 API 為其帶來商業及 IT 效益。API 雖然能為企業帶來優勢,但需配合合適的監管和保安措施,不然就會帶來了安全風險。據《API 與數碼企業:由營運效益至數碼顛覆》研究顯示,大部分受訪企業採用 API 提供更佳的客戶體驗、拓展全新商業模型,以及更快速提供促進收入的應用程式,並藉此降低 IT 相關的成本及風險。
另一方面,調查結果亦顯示,近八成 (79%) 受訪企業普遍使用 API 來引入第三方服務及便於第三方開發者使用,但並非所有應用都能以恰當的管理方式運作,尤其是涉及與第三方的合作。Unwire.pro 近期亦與 CA Technologies 亞太及日本地區保安和 API 管理副總裁 Vic Mankotia 就企業在 API 及特權用戶管理上的問題進行探討。
開放 API 引入第三方服務安全風險不容忽視
API 在香港的使用率不斷提高,主要受惠於本港發展數碼及網絡經濟,以及政府智慧城市的構想。受惠於資訊及通訊科技基建完善、流動網絡 (230.4%) 及家用寬頻 (84%) 滲透率高,智能裝置及流動科技快速發展等因素,推動了市場對流動應用及物聯網解決方案的需求。因此,API 供應商應提供廣泛的 API 開發工具及解決方案,以滿足用戶需求,這些用戶包括應用開發商、物聯網裝置製造商及收集、產生或分析數據的機構等。
亞太及日本地區保安和API管理副總裁 Vic Mankotia 表示,儘管使用 API 引入第三方服務或便於開發者使用等用途能為企業帶來好處,但卻不能忽視其帶來的安全風險,必須有妥善的管理措施。他提到在 API 和特權用戶管理的範圍較為廣泛,但可概括為特定用戶群透過特定權限存取特定的資料。
所謂特權用戶,人們通常的理解是組織內部直接負責系統和網絡管理的人員,因而很多人將特權用戶管理稱為「內部威脅」。然而,特權用戶其實還包含企業外的人士,如供應商、業務合作夥伴以及其他被授予組織內部高級存取權限的人員。在雲運算和虛擬化時代,特權用戶更有可能不是傳統的 IT 人員,他們可能是在雲上協助客戶購買雲端服務的客戶代表,甚至可能是某些自動化的配置和資源調配工具。有鑑於他們的隱蔽性和所擁有的高級權限,管理特權用戶的行為便成為資訊保安不可忽視的一環。
他又指企業應訂立並秉承一貫的資訊政策進行管理,具體可分為 Privileged identity management (PIM) 和 Privileged access management (PAM) 兩種方式,透過合適的管理政策和解決方案,如 CA 特權存取管理器。做到自動化管理何人能夠存取用戶最關鍵數據和系統,從何地、何時存取及存取時間長度才是恰當的「特權管理」。
Vic Mankotia 強調:「疏於管理的特權帳戶存取高價值系統及資訊的權限可能會被濫用,引致部份極具破壞性的漏洞。此外,隨著合規性及審計上的要求日益嚴苛,亦加強了對特權用戶相關的憑證及活動控制和管理的必要性。利用 CA 特權存取管理器,客戶能夠掌握特權用戶在混合 IT 環境的存取,從而滿足合規性的要求。」
預防數據外洩 特權管理原則同樣適用
去年香港以至國際出現了不少大型企業的數據外洩事件,被問到企業可如何防止類似的事件發生。Vic 表示,在全球範圍尤其是亞太區不斷見到有企業進行數碼轉型,而在數據外洩的事故上,不難發現大部分事件或多或少與內部員工有關,問題可能在於內部員工有過大的權限存取核心系統的資料,甚至只是員工忘記登出系統所致。
但其實套用「何人、何地、何時存取及存取時間長度」的特權用戶管理原則,當這些錯漏出現時便不難發現。CA Technologies 大中華企業安全及 API 管理解決方案高級總監戴文宗補充,企業很多時候只著重防火牆、DDoS 防禦等安全防護,卻忽略了身份驗證和特權用戶管理。
因此企業應留意資料在何時何地被存取,畢竟除了企業和內部員工,開放 API 亦令客戶和合作夥伴可以經過雲端或應用程式等不同途徑存取一定的資訊,企業應有所注意。例如合作關係已完結的客戶或廠商是否仍能保留存取權限?存取的資料又應否與以往相同,這些都需要基於企業基於內部資訊政策進行管理。
他又提到,如 CA Technologies 月前發布的調查報告亦顯示,儘管市場一直強調安全的重要性,但就 API 安全而言,香港機構對此方面的重視仍然不足。報告中亦提到有 87% 的調查受訪者認為「應對安全性及合規性挑戰」很重要,但僅有 21% 採取實際行動。而 API 安全機制方面,不到半數的受訪者已採取安全措施應對攔截正當交易的中間人攻擊,並更新了不安全的舊版 API;僅有 29% 的受訪者採取實際措施,透過檢測認證缺陷抵禦身份攻擊。
戴文忠認為:「在應用經濟中,應用程式能夠提供愈來愈多的商業服務。香港政府亦在尋求利用流動及軟件應用發展經濟。此趨勢為 API 在香港的發展帶來眾多機遇。利用 API,香港企業將可更輕鬆開發創新應用,並與其他地區競爭,拓展業務覆蓋及構建全新業務模式等。可見 API 是香港機構數碼轉型的基礎。而 API 亦代表裝置、應用、平台及所有軟件的連接性,要實現安全訪問及數據交換,API 充當重要角色。」
特權管理提升網絡保安
戴文忠早前亦在 Unwire.pro 專欄中闡述特權用戶管理方案的使用概念,即系統配合現有的 IT 系統環境,以用戶身份為中心,為管理人員提供一個授權中心點,避免系統因為帳戶被盜、被入侵或被誤用而出現的風險,而管理人員則通過共用管理帳戶來限制網絡權限。
他認為透過這種中央管理的共用管理模式可提高靈活性,同時又可減低管理人員負擔,提升網絡的保安能力。透過特權管理方案,企業可進一步提升現有系統的保安能力,並能讓企業客戶控制及保護 IT 管理員或其他特權用戶免受外界攻擊,也可以防止因為內部人員的錯誤或惡意濫用權限所導致的損失。這種保安管理方式亦適合講求絕對網絡安全的銀行金融業,以及越來越注重網上業務的機構採用。
他又提到,CA Technologies 融合早前收購的 Xceedium 身份驗證中心的安全解決方案,向用戶提供綜合性的特權存取管理 – CAPrivileged Access Management,能為混合雲和企業用戶提供基於網絡和主機的管控,讓用戶減低帳戶盜竊或被入侵的風險,讓用戶能安心管理自己業務運作。
戴文忠認為,隨著網絡威脅風險不斷提升,企業需要適當展現其風險管理能力。對香港維持環球金融業的領導地位,這種嚴格規定實在不可或缺。