業界訪談

    當員工加入一間企業工作,企業便需要安排員工需使用的應用程式登入憑證,但隨著員工的角色轉變加上時間的推移,會用到的應用程式會增多,權限亦會改變。當公司規模擴大,加上疫情驅動企業數碼轉型,人員數量及應用程式的登入憑證量因而倍增;如果要逐項人手審刻,恐需時甚久,甚至加重本來 IT 人手不足的壓力。另一方面員工離職後,如果未有即時處理憑證及權限,更會為黑客提供入侵途徑,造成龐大損失。究竟可以怎樣堵截入侵漏洞? SailPoint Managing Director Simon Tai分享,其解決方案如何解決本地企業在網絡安全(Cybersecurity)及內部控制(Internal Control)的難點。

    「大宅管理員」  按身份安排「進出房間」

    身份管理(Identity Management)包括登入資料、在個人或公司的系統中的存取權限等,對企業而言最大的威脅是如果黑客取得登入用戶名稱及密碼,會招致難以預計的損失。而引致憑證洩漏的缺口,就是企業在員工離職後未有及時處理其帳戶及權限。身份認證解決方案專家SailPoint 的服務如同為企業管理一間屋的保安,能決定經身份認證進入系統的人士,可以進入哪些「房間」存取資料,按其職權需要作出分配及管理。

    讓企業擁完整身份管理及權限處理循環

    Simon 形容,數碼轉型下企業使用的應用程式增加,目前企業面對的挑戰是「房間」愈來愈多,而進入「大屋」的人不只正職員工,合約員工或生意夥伴亦有機會需要權限進入。每一個身份憑證都有機會是黑客的入口,但企業有機會連自己有多少個使用中的應用程式都未能掌握,增加遭受網絡攻擊的可能性。SailPoint 的服務便能為企業安排「Right access to the right person」,並讓企業擁有完整的身份管理及權限處理循環,防止因帳戶資料外洩,令系統曝露於危險當中。

    而在內部控制方面,企業需避免員工權限過大的問題。Simon 舉例指,在 90 年代時英國投資銀行霸菱(Barings Bank),就因為在新加坡的交易員權限過大,在公司不知情的情況下,投機失敗導致 14 億美元的損失,更令霸菱倒閉。而現時交易需經多重核准,避免越權問題。SailPoint 的解決方案具有 access review 功能,助 IT 審計人員審視有否存在 toxic right 的問題,讓企業更易管控帳戶減免內部風險。

    AI/ML 助踢走越權情況  提供權限建議

    大型企業規模很多時不限於本地,SailPoint 的服務支援更多用戶、更多應用程式的區域網絡。Simon 指出,過往企業較少將資料投放在身份管理,現時 IT 人才流失嚴重,企業甚至忽略身份管理,因為以往都依賴人手處理權限,在帳戶多、用戶多、處理人手少的情況下,新員工的加入也需等系統準備好才能開始工作;員工轉職也需時停用帳戶。SailPoint 的 AI 及 ML(Machine Learning)技術能按員工職權,給予所開放的權限建議,但最終審核仍需交入人手管理。操縱平台的 IT 人員不需再自己剔選開放的權限,而是 AI 會自動按員工角色的改變作建議,並觀察有否越權或過少權限的情況。

    SailPoint 擁有多年身份管理及處理大量相關數據的經驗,提供 true SaaS 服務,企業能隨時作系統更新;為每個員工在企業入職至離職的期間,IT人員都能在權限管控享有完整循環。

    SailPoint 創立於 2005 年,並於 2013 年開拓香港市場,客戶廣佈全球,包括醫療、零售、保險、銀行業等。憑藉多年在身份管控的研究與經驗,為企業 IT 管理人員提供完善內部審核及帳戶管控功能,除了能避免帳戶資料洩漏,堵截網絡攻擊之外,SailPoint 的服務亦滿足政府或客戶對法規要求。

    為未來做好準備! Revive Tech Asia將幫助你用科技推動你的業務和職業發展!

    關於這個活動
    Revive Tech Asia是一個為期兩天的科技會議和展覽,將於2022年8月24日至25日在亞洲國際博覽館舉行,旨在聚集最有影響力的人才,慶祝創新,促進科技轉型和在現實世界的應用。

    這不是一個只為IT專業人士舉辦的活動,而是為所有不同行業而且有興趣通過科技來推動他們的業務和事業的人舉辦的活動。

    會議計劃將涵蓋廣泛的主題,包括未來工作、客戶體驗、人工智能和數據、多樣性和包容性、雲技術和數據中心、智能連接、可持續性等。

    有關會議主題/發言人,請瀏覽以下網站。
    https://revivetech.asia/?utm_source=eventlisting&utm_medium=eventlisting_eventbrite&utm_campaign=eventlisting_eventbrite

    當員工加入一間企業工作,企業便需要安排員工需使用的應用程式登入憑證,但隨著員工的角色轉變加上時間的推移,會用到的應用程式會增多,權限亦會改變。當公司規模擴大,加上疫情驅動企業數碼轉型,人員數量及應用程式的登入憑證量因而倍增;如果要逐項人手審刻,恐需時甚久,甚至加重本來 IT 人手不足的壓力。另一方面員工離職後,如果未有即時處理憑證及權限,更會為黑客提供入侵途徑,造成龐大損失。究竟可以怎樣堵截入侵漏洞? SailPoint Managing Director Simon Tai分享,其解決方案如何解決本地企業在網絡安全(Cybersecurity)及內部控制(Internal Control)的難點。

    「大宅管理員」  按身份安排「進出房間」

    身份管理(Identity Management)包括登入資料、在個人或公司的系統中的存取權限等,對企業而言最大的威脅是如果黑客取得登入用戶名稱及密碼,會招致難以預計的損失。而引致憑證洩漏的缺口,就是企業在員工離職後未有及時處理其帳戶及權限。身份認證解決方案專家SailPoint 的服務如同為企業管理一間屋的保安,能決定經身份認證進入系統的人士,可以進入哪些「房間」存取資料,按其職權需要作出分配及管理。

    讓企業擁完整身份管理及權限處理循環

    Simon 形容,數碼轉型下企業使用的應用程式增加,目前企業面對的挑戰是「房間」愈來愈多,而進入「大屋」的人不只正職員工,合約員工或生意夥伴亦有機會需要權限進入。每一個身份憑證都有機會是黑客的入口,但企業有機會連自己有多少個使用中的應用程式都未能掌握,增加遭受網絡攻擊的可能性。SailPoint 的服務便能為企業安排「Right access to the right person」,並讓企業擁有完整的身份管理及權限處理循環,防止因帳戶資料外洩,令系統曝露於危險當中。

    而在內部控制方面,企業需避免員工權限過大的問題。Simon 舉例指,在 90 年代時英國投資銀行霸菱(Barings Bank),就因為在新加坡的交易員權限過大,在公司不知情的情況下,投機失敗導致 14 億美元的損失,更令霸菱倒閉。而現時交易需經多重核准,避免越權問題。SailPoint 的解決方案具有 access review 功能,助 IT 審計人員審視有否存在 toxic right 的問題,讓企業更易管控帳戶減免內部風險。

    AI/ML 助踢走越權情況  提供權限建議

    大型企業規模很多時不限於本地,SailPoint 的服務支援更多用戶、更多應用程式的區域網絡。Simon 指出,過往企業較少將資料投放在身份管理,現時 IT 人才流失嚴重,企業甚至忽略身份管理,因為以往都依賴人手處理權限,在帳戶多、用戶多、處理人手少的情況下,新員工的加入也需等系統準備好才能開始工作;員工轉職也需時停用帳戶。SailPoint 的 AI 及 ML(Machine Learning)技術能按員工職權,給予所開放的權限建議,但最終審核仍需交入人手管理。操縱平台的 IT 人員不需再自己剔選開放的權限,而是 AI 會自動按員工角色的改變作建議,並觀察有否越權或過少權限的情況。

    SailPoint 擁有多年身份管理及處理大量相關數據的經驗,提供 true SaaS 服務,企業能隨時作系統更新;為每個員工在企業入職至離職的期間,IT人員都能在權限管控享有完整循環。

    SailPoint 創立於 2005 年,並於 2013 年開拓香港市場,客戶廣佈全球,包括醫療、零售、保險、銀行業等。憑藉多年在身份管控的研究與經驗,為企業 IT 管理人員提供完善內部審核及帳戶管控功能,除了能避免帳戶資料洩漏,堵截網絡攻擊之外,SailPoint 的服務亦滿足政府或客戶對法規要求。

    數據洩露經常發生,幾乎每天都聽到相關事故。無論是甚麼行業、部門、地方,受害組織的規模從小型企業,至國際大企業都不能倖免。IBM 估計,2021 年美國公司的數據洩露平均成本為 424 萬美元,當涉及遙距工作,損失平均更增加了 107 萬美元。這篇文章將講解如何檢查自己的資料有否遭外洩及數據外洩的風險等問題。

    企業遭遇數據外洩事故,其成本可包括以數百萬美元修復受損系統、執行網絡取證、改善防禦和支付法律費用,還涉及受數據洩露影響的個人客戶流失所致的損失。對於個人而言,損失可能就會變得個人化,損失或可能是工資、儲蓄和投資資金。

    數據洩露是如何發生的?

    根據 IBM,網絡攻擊者闖入公司網絡的最常見的初始攻擊手段,多數是利用外洩的憑證,這種方法佔了 20%。這些憑據可能包括線上洩露的帳戶用戶名和密碼,可能在單獨的事故中被盜;或是從暴力攻擊獲得,例如以自動劇本嘗試不同的組合,來破解易於猜測的密碼。

    其他潛在的攻擊方法包括:

    Magecart 攻擊:British Airways 和 Ticketmaster 等公司都曾遇過這些攻擊,即惡意代碼被悄悄加入電子支付頁面,以偷取信用卡資料。

    在網站 Domain 和表單加入的惡意代碼:相同的策略可用於從客戶和訪問者那裡獲取數據資料,直接在受害者到訪正常網站時竊取數據。

    商業電郵件詐騙 (BEC) :BEC 詐騙是攻擊者偽裝成公司員工、承包商或服務提供商。他們鎖定電子郵件的來往或聯繫客戶服務的過程作攻擊,欺騙他們交出個人資料或將發票支付到錯誤的銀行帳戶。

    內部威脅:例如員工受網絡犯罪分子的引誘,將數據資料售出。曾有一名俄羅斯國民因試圖招募美國公司員工,在其僱主的網絡上安裝惡意軟件而被捕。

    疏忽:不安全的伺服器,如配置錯誤而長期開放或暴露,是數據暴露和洩露的主要原因。資料也可能因此被員工意外洩露。

    垃圾郵件和網絡釣魚攻擊:在個人層面上,網絡犯罪分子會嘗試通過垃圾郵件、網絡釣魚域等方式獲取受害者 PII 包括姓名、實際地址、電子郵件地址、工作經歷、電話號碼、性別以及護照等的文件副本,都可用於進行身份盜用。

    當攻擊者在裡面時會發生什麼事?

    攻擊者可能首先進行監視,從網絡中找出最有價值的資源在哪裡,或者發現潛在的途徑,跳入其他系統。Verizon 指出,71% 的數據事故是從「錢」出發策動。攻擊者可能會部署勒索軟件,來勒索受害者以重新獲得對網絡的存取權限。在「雙重勒索」中,黑客組織可能首先竊取機密資料,然後威脅要在網上洩露數據。

    另外,有些人可能會偷走他們知識產權設計,並抹去他們的痕跡。還有些攻擊者可能會測試他們的接入點,並透過暗網將之出售給其他網絡攻擊者。在某些情況下,網絡入侵是出於想破壞一間公司的服務並損害其聲譽。一些不法分子下載數據後在網上免費發布至 PasteBin 等。

    什麼是暗網?

    互聯網可以分為三層:明網(clear web)、深網(deep web)和暗網(dark web)。

    明網:明網即是我們大多數人每天使用的互聯網。

    深網:深網需要特定的瀏覽器才能訪問,通常需要 Tor 網絡和 VPN。網站使用 .onion 地址進行索引,整個網絡是基於安全和匿名原則運作,使用者有法律上的考慮,如規避審查或非法操作。

    暗網:暗網則是與犯罪活動相關的區域,這可能包括出售數據、非法產品、毒品、武器和其他非法材料。

    數據洩露對您有何影響?

    個人資料如果牽涉數據洩漏事故中,也可能在網上暴露、被盜或洩露,例如:

    Securitas:1 月研究人員披露了屬於該安全公司的不安全 AWS 存儲桶,並在網上洩出。當中機場員工記錄和 PII 被洩露。

    上海國家警察 (SHGA) 數據庫:7 月有報導稱,上海國家警察局收集的涉及約 10 億中國公民的數據被發現在暗網上出售。

    Robinhood:2021 年的一宗事故導致大約 500 萬人的個人資料和電子郵件地址被盜。

    Facebook:一個包含 5.53 億 Facebook 用戶資訊的數據轉儲在收集兩年後,於 2021 年在線發布。

    Volkswagen、Audi:去年,兩家公司承認數據洩露事件影響了 330 萬客戶和感興趣的買家。

    身份盜竊是指有人在未經許可使用個人資料冒充受害人,作欺詐和犯罪行為,可能包括與稅務有關的欺詐、開設信貸額度和貸款、醫療欺詐,以及線上進行欺詐性購買。這些情況可能會影響信用評分,令受害人需負上貸款或承擔財務責任。更麻煩的是,由於網絡犯罪是全球性發生,執法部門也很難起訴肇事者。

    我如何知道我是否參與了數據洩露?

    可使用 Have I Been Pwned,由安全專家 Troy Hunt 運營,可用於找出你受哪些數據洩露事故影響,以及你的數據被洩露的程度。

    密碼管理器

    如果您使用密碼管理器,例如 1Password、Keeper 或 Dashlane,這些管理器會提供洩露監控服務,當密碼出現在數據洩露時會發出提醒。

    如果遭遇數據洩露應怎樣做?

    這取決於數據洩露的嚴重性和類型。如果 PII 已經以某種形式在網上洩露,如姓名和電子郵件地址等,在這種情況下是無能為力。但是,如果帳戶詳細信息被洩露,無論如何都應立即更改密碼。此外,在不同平台和服務中重複使用密碼組合,也應該立即更改。

    啟用兩因素身份驗證 (2FA) 能為帳戶提供多一層安全保護,因此如果憑據被洩露,攻擊者還需要取得電子郵件帳戶或手機,才能獲取存取帳戶所需的驗證碼。如果信用卡的詳細資料、銀行帳戶或其他財務相關的服務遭到入侵,請立即致電服務提供商,或者凍結信用卡,還必須通知銀行或金融服務提供商,以便他們留意可疑和欺詐性交易。

    資料來源:https://zd.net/3Pcp8QS