香港企業正面臨著越來越嚴重的安全、營運和法規挑戰。本地身分盜竊、網絡釣魚和數據洩露案例正處於歷史高峰。香港電腦保安事故協調中心(HKCERT)最近發表的報告便點出針對身分的網絡攻擊大行其道,並預計這些攻擊將繼續成為企業網絡安全的心腹大患。在 2022 年第四季,本地釣魚攻擊個案首度突破 10,000 宗,相比去年同期上升 11 倍。鑑於身分攻擊的形式越趨多元化,香港企業必須建立嚴格而穩固的身分安全系統。 想睇更多專家見解?立即免費訂閱! 事實上,在公司網絡中一個無人處理的前僱員帳戶就有可能輕易地引致企業數百萬美元的損失。 那些帳戶被稱為「孤立帳戶」,是公司尚未撤銷的前員工身分帳戶。 這類型的「孤立帳戶」存在於許多公司的系統中,不單引起 IT 審計團隊的關注,更造成潛在網絡威脅。 這是一個很好的例子,說明企業在進行數碼轉型時,為何身分安全應成為網絡安全的戰略核心。 隨著混合辦公模式已成為各行各業的大勢所趨,企業必須為內部及合約員工、合約夥伴和供應商等提供網絡資料存取權限,但同時亦要保護整體員工的身分安全。 因此,企業需要一個強大的身分安全解決方案以管理全公司的存取策略,並及時向用戶提供所需的存取權限,與及確保儲存在雲端的應用程式和數據免受未經授權的存取侵害。 此外,香港企業在招聘及挽留人才上亦面臨前所未有的挑戰。更多員工在企業內不斷轉變工作崗位,或離開他們的公司並開展新的工作。因此,企業必須確保他們的入職和離職流程順暢無縫。 然而,由於香港企業人手短缺,他們不可能再只依靠人手流程授予用戶存取資料和數據的權限,尤其以手動流程處理存取管理和安全的效率低,客易不合規和造成人為錯誤,變相增加風險。 除此以外,現今企業擁有的身分數據數量和認證的次數龐大,要達致及時並準確地對所有數據進行分類已經超出了人手處理的極限,而要以人手完成身分安全流程和決策可能需要數年時間,實際上並不可行。今天的 IT 團隊看到在各種營運環境中,用戶、應用程式及數據用量都在不斷增加。 現時企業的團隊,由員工、供應商、合作夥伴甚至非人類身分設備組成,企業需要完全了解所有用戶類型及其相關存取權限,包括所有權限、員工所需權限、工作特質和崗位等,以便確保所有用戶都能擁有所需的存取權限,並獲取正確的資源以完成他們的工作。 透過自動化的身分流程,企業可以在員工加入、更改職位或離開公司時輕鬆安全地刪除或恢復存取權限,而無需任何人手干預。 這樣能夠最大程度地簡化新員工、內部轉移和離職者的入職和離職流程。 自動化流程還可以簡化實現存取控制和仔細處理權限,以防止利益衝突、資料盜竊和違規,從而實現有效且合規的網絡安全方案。…
Search Results: 身分安全 (12)
在高等教育領域中,同一機構內的學生和教職員可擁有多重身分——學生可能成為教職員﹑員工或擔任義工,畢業生將成為校友等。而他們更可能同時在多個部門擔任不同崗位,並且頻繁地穿梭轉換,要正確地梳理每個人的身分和相應權限殊不容易。再者,很多香港高等教育機構習慣在不同時期由不同的部門建設多個系統及應用,令情況更趨複雜。 想睇更多專家見解?立即免費訂閱! 不少大專院校仍依賴人手程序來分配和處理存取權限,這包括每個學期成千上萬的新生,而且他們在成本和人手上可能面對更大限制。此外,這些機構往往須儲存和管理個人身分資料和敏感的研究內容,故他們不僅必須滿足當地和國際監管及審計要求,同時面臨更高的網絡安全風險。 身分管治成安全關鍵 佈建新帳號時間短 疫情加速全球數碼發展,遙距學習漸成趨勢,犯罪分子卻持續利用當中衍生的安全漏洞,令教育機構多次遭受網絡攻擊,例如資料外洩、網絡釣魚攻擊和阻斷服務攻擊。網絡攻擊所導致的後果嚴重,包括學校停課、教學中斷、數以百萬計的納稅人資金損失,甚至學生和教職員身分遭盜用等。 鑑於這些安全性、存取權限和合規問題複雜,香港的高等教育機構應該把有限的資源集中在何處?以身分安全為核心的 IT 安全策略是一大關鍵,能協助機構安全管理各式各樣的角色。 身分安全涉及利用軟件和系統來管理用戶在地端或雲端的應用及檔案存取權限。此外,藉着中央佈建流程和單一權威數據源,即可佈建及追蹤具備多重身分的用戶,幫助機構簡化及自動化關鍵程序,佈建新帳號所需時間從一整晚大大減少至只需一分鐘,用戶更能輕鬆使用遙距視像軟件來學習或進行會議,在提升效率之餘,亦提供更佳用戶體驗。 方案需合乎機構獨特要求 哈佛大學都有用 一個能夠回應機構獨特要求和數據結構的身分安全方案,在今時今日保障校園安全發揮了重要作用。例如美國哈佛大學的用戶分佈極複雜,因此需要簡化多個帳號的管理工作,輕易佈建或取消佈建帳號及服務,並自動評估﹑套用或刪除聯屬關係。 該程式能夠區分學生、教職員、員工﹑學生員工、承辦商等角色,並根據各個相關生命週期的定義,提供必要和非必要的帳號和資源。每個身份的聯屬關係會每 15 分鐘評估一次,並根據個別生命週期來增刪帳號和服務。若用戶的角色有變,存取權限亦會自動調整,而且必定僅為該角色可享的最低權限。這樣可大大減低威脅的攻擊面。 機構該從何入手?以下為三點建議: 爭取管理層支持:部署身分安全方案需時不多,少至三個月亦能成事。然而,機構需放眼更長遠的路線圖,才能充分當中所帶來的機遇;而相關政策及程序也需升級配合,而且必須由高層帶領,由上而下作出變革方能實現。 與專家合作:身分管理項目不應採用普世通用的解決方案。機構的預算、時間框架、度身訂制的方案、配置需求,以至現有的身分管理流程,都會影響大大小小的決策?由一個了解你需要的供應商提供專業建議及支援,致力與你坦誠合作,是決定成敗的重要因素。 預備展示投資回報率:向管理層展示身分安全的利處非常重要,這樣才能持續取得他們的參與和支持。證明長遠而言,投資身分安全能夠為機構帶來切實的進步,並為用戶送上更佳體驗。 作者:SailPoint香港及澳門董事總經理戴健慶(Simon)