在今天看見明天
熱門: 0056 0050 輝達 00878 00940

數位部狂徵資安人才、美國防部高喊「零信任架構」!台灣企業面臨三大資安風險

數位部狂徵資安人才、美國防部高喊「零信任架構」!台灣企業面臨三大資安風險

李逸涵

政治社會

shutterstock

2022-08-30 12:28

日前數位發展部掛牌搶資安人才,美國國防部喊出將採零信任架構,讓資安議題再次浮上檯面。而面對供應鏈極致分工,加上台灣科技產業近年頻傳收購、併購案,資安專家點出幾點潛在的風險。

 

第一,在大型企業中,若員工帳號擁有過多「內部資料存取權限」,恐成駭客眼中的肥羊。

 

美國身分安全治理解決方案公司Sailpoint台灣分公司總經理傅孝淇指出,「『權限』是一種授與之後,就很難管理、收回的東西。」

 

Sailpoint在台灣就有這樣的客戶案例,在某些較大較複雜的企業環境裡,一個員工的多樣身分可能導致超過七千個權限要被管理。

 

傅孝淇指出,多數公司是人事(部門)用Excel的方式手動管理不同職權的內部資料訪問權限,但是,當組織職權異動、人事升遷,人事可能會因為職權複雜、人情壓力、作業不及等因素,沒有適切管理單一帳戶的職權,例如移除帳號存取與新工作無關的資料庫權限,這可能會導致單一帳號的資料存取權限漸漸超出工作所需。

 

傅孝淇說,這次美國國防部所喊出的「零信任架構」,就是要將單一職位所能存取的權限「最小化」。當資安邊境破防已經防不勝防時,企業下一步的資安策略,就是要確保駭客入侵時能「偷」到的東西,不足以對企業營運造成威脅。

 

傅孝淇指出,未來企業的身分管理將著重於「自動化」,管理範圍將包括人類員工帳號及機器人帳號。

 

▲SailPoint台灣區總經理 傅孝淇(SailPoint提供)

 

第二,要注意企業併購前後的組織異動與員工身分管理。

 

合併或收購(Mergers and acquisitions,M&A)是近年來商場上耳熟能詳的名詞,企業透過收購、併購等方式增加市佔率,或是藉由拆分、獨立事業部,提高敏捷度,已經成為企業提升營運績效的常用方式。根據安永會計師事務所調查,亞太地區於2022年上半年共累積648件交易量,交易金額高達4030億美元。

 

但企業間的投資收購風潮卻隱含著不為人知的資安風險!勤業眾信風險諮詢服務執行副總經理陳鴻棋指出,投資前,常見因消息走漏或針對性的勒索病毒攻擊,在投資後,母子公司之間因為員工帳號存取權限的異動,職務區隔與權限之間是否平衡,則成為投資後管理的重點。

 

▲勤業眾信風險諮詢服務執行副總經理 陳鴻棋(勤業眾信提供)

 

第三,須防範供應鏈上下游公司因合作緊密可能出現的資安漏洞。

 

半導體產業是很多供應商的產業,新創資安鑄造創辦人毛敬豪日前在《亞灣創新 X 新創大南方》的論壇上以台積電為例,因為緊密的上下游合作,台積電的資安部門不只要管理晶圓廠的資訊安全,更要追蹤高達兩、三千家的供應商的資安等級。

 

除此之外,傅孝淇表示,台灣供應鏈的分工完善,科技業者的客戶之間多半有競爭關係。確保服務不同客戶的員工之間沒有資料存取的重疊與衝突,不僅是貫徹最小存取權限的零信任原則,也是取信於客戶的重要依據。

 

 

延伸閱讀

運算與資安雙管齊下,雲端平台龍頭Akamai助攻網路大未來
運算與資安雙管齊下,雲端平台龍頭Akamai助攻網路大未來

2022-08-15

唐鳳:學歷比我高、國中畢業就可以來!數位部徵才月薪48K起「高手用經歷換學歷」
唐鳳:學歷比我高、國中畢業就可以來!數位部徵才月薪48K起「高手用經歷換學歷」

2022-08-12

台灣每天被境外網攻3000萬次! 總統府官網一度停擺 什麼是DDoS攻擊? 為何資安就是國安?
台灣每天被境外網攻3000萬次! 總統府官網一度停擺 什麼是DDoS攻擊? 為何資安就是國安?

2022-08-03

工作累死只想躺平?00919、00878...小公務員存股高股息拚提早退休:每月多賺一個本薪
工作累死只想躺平?00919、00878...小公務員存股高股息拚提早退休:每月多賺一個本薪

2024-10-30

從印刷廠女工拚到財經博士!沒有富爸媽,她50歲提早退休...把一手爛牌變好牌的4個「好命關鍵」
從印刷廠女工拚到財經博士!沒有富爸媽,她50歲提早退休...把一手爛牌變好牌的4個「好命關鍵」

2024-11-04