SailPoint 研究報告揭數碼身份成攻擊目標

企業身份安全解決方案公司 SailPoint 近日發表研究報告《The Horizons of Identity》。Sailpoint 香港及澳門董事總經理董事總經理戴健慶指出,隨著近年全球企業營運的改變與發展,新一代身分安全程式已成為企業保護和啟用數碼項目的關鍵。

身分安全愈趨複雜

根據國際數據空間協會 (IDSA)的數據,84% 機構曾發生與身份相關的數據安全事故,而幾乎所有( 99%) 機構均認為,這些事故原可以避免。除了事故本身造成的損失,新法規也可能引致高昂的罰款,例如因違反《一般資料保護規範》而產生的罰款佔全球所有罰款收入高達 4%。

身分遠遠超出用戶憑證,現今企業需要保護設備機器身份(machine identities)、客戶、員工、合約和臨時員工,甚至合作夥伴等多種身份,當中機器身份佔平均企業身分總數的 43%,其次是客戶 (31%) 和員工 (16%),因此預計在未來 3 至 5 年內,機器和客戶將會是增長最快的兩種身分類型。 值得留意的是,預計各種身分的總數將於同期增加 14%。

戴健慶又特別提醒企業注意「outlier」,即那些在機構內取得不必要或過多權限的用戶,以及那些高權限帳號。

「就好比公司信用卡,發卡太多難以管理;每張卡的信用額過高也有潛在風險,容易受攻擊,但限制信用額員工又會無法完成工作,令企業處於兩難窘局。」戴健慶認為,本港大部分企業仍採取人手身份管理,在分散式系統的環境和人手不足的限制下,現時的操作很容易出現問題。

▲SailPoint 亞太區方案工程總監顧志建議企業進行「身份安全成熟度評估」以了解自身的身份安全發展進程。

AI 驅動身份安全策略

報告顯示,45% 的企業在這方面仍處於起步階段,戴健慶則估計八成本地企業在第一及第二階段,當中大部分在第一階段。這意味著他們有機會利用最新技術,從根本開始構建可支援人工智能的全面身份安全策略。隨著企業的相關需求已超越人手處理能力,相信這方法將迅速普及。

至於行業方面,報告披露高科技企業普遍擁有最成熟的身份安全措施,其次是銀行和證券公司;另一方面,傳媒、娛樂和交通行業的增長空間最大。在身份安全最成熟的企業當中,71% 為大型企業,而且 64% 位於北美地區,位於歐洲和亞太地區的企業則分別佔 21% 和 14% 。 

SailPoint 亞太區方案工程總監顧志鋒表示:「不論規模大小的亞太區企業在身份安全成熟程度上均大幅落後,情況響起警號。隨著數碼身份及相連裝置的數目飆升,機構必須尋求採用自動化的一站式智能身份安全平台,以將所有用戶存取權限的發現及管控過程自動化, 並協助用戶在合適時間利用合適權限獲得合適的資源。自動化的身份安全方案不但可簡化流程,更可支援高效及跨機構的工作流程,確保符合公司政策及所有數據、應用程式、系統及雲端資源的存取權限,從而避免捲入與身份安全相關的風險。」 

顧志鋒又建議企業進行「身份安全成熟度評估」,以了解自身的身份安全發展進程。