台灣頂尖零售品牌利用 CyberArk 保護全島 70 家門市數百名使用者

恆隆行在其網路安全策略中專注於身分識別保護措施

回到頂部

總述
公司概況
挑戰
解決方案
結果
主要優勢

摘要

作為台灣領先的零售業者，恆隆行比起許多其他企業是更大的攻擊目標，因為它在全島偏避地區擁有數百名員工。這些員工通常不知道身分盜竊的風險持續增長。在強化安全性的策略當中，該公司選擇 CyberArk 身分安全平台，以便提供最全面的可用智慧特權控制，並且大幅降低身分入侵的風險。

公司概況

恆隆行成立於 1960 年，是台灣台北的一家零售與批發經銷商，且擁有三間分銷中心。該公司為台灣許多知名的等線上零售電商提供從傳統相機和週邊配件、電池到現代小型家用電器和家庭廚房用具的一系列產品。主要品牌包括 Dyson、Braun、Honeywell、Lexon 和 Panasonic，此外恆隆行在 B2B 業務發展上，該公司還擁有官方直營電商。

員工數: 600

挑戰

零售業是最容易遭受網路攻擊的目標之一。恆隆行作為台灣歷史最悠久、知名最高的零售品牌之一，也不能倖免。面對遍佈全島 70 家門市的數百名員工和高度員工流動率，對客戶、員工和業務營運的入侵威脅和影響非同小可。最薄弱的點之一就是員工很容易遭受網路釣魚和身分盜竊的侵害。「我最大的困難在於人員是最大變數。」恆隆行資訊部處長 Timo Lu 解釋道，「如果我想解決資訊科技問題，就必須先解決人員和特權的問題，這就是身分安全的意義所在。」

建立穩健且有效的網路安全策略時，身份保護是最重要的面向之一。該企業遭受過數次重大的網路攻擊，也竭盡全力去阻止這情況再次發生。但事實證明，鎖定人員管控與特權管理以及漏洞的修補與防護上，其臨界點上的管理相當困難。管理階層並未清楚瞭解特權帳戶並未獲得有效的管控，相對的也連同密碼的管理需要加強。

另一項挑戰是該公司正在進行數位轉型。在傳統的地端 IT 基礎設施之外，該公司也需要一併將各項商業服務，如網站、電商務服務、雲端平台如AWS雲端資源環境來思考全面的資訊安全框架。恆隆行所依賴的核心系統包括數據收集和分析平台、銷售和客戶資訊的延伸至重要的 ERP系統。除了要著重強化保護公司的整體系統與營運，更保護 ERP 和客戶資料也是關鍵所在。

為降低網路風險並保護恆隆行的數位轉型，該公司對其 IT 網路、安全、系統許多方面展開了重大改革。這包括重組公司的網路架構，還有實施多層安全層級。該公司任用恆隆行資訊部處長呂柏林(Timo Lu)，以帶來獨特的競爭優勢並推動這項策略措施。身為 CyberArk 認證專業人員和台灣 4A 創意獎團隊的成員，Timo在向客戶交付最佳 IT 解決方案方面擁有豐富經驗。

網路安全策略的下一個階段是處理身分安全。恆隆行仔細審核了各種解決方案並決定與 CyberArk 合作。「採用 CyberArk 就是恆隆行的明確選擇。」Timo 說道。「網路釣魚一直是我們面臨的最大風險之一，隨著生成式 AI 問世，我們只能高度依賴網路安全訓練，以及反垃圾郵件和反網路釣魚等防護機制。有些網路釣魚電子郵件還是有辦法繞過這些機制，而且在電子郵件到達收件匣時，員工有極大機率出錯。CyberArk 提供優秀的多層級解決方案，可化解攻擊並確保身分安全，以便協助我們保護全島門市中易受影響的員工。CyberArk 同時支援我們 IT 環境中的多個平台，而且具備可提升營運效率的卓越管理功能。」

Timo加入恆隆行是為了協助企業改善身分安全。「Timo的職涯歷練當中驗涉及線上遊戲和第三方支付維運，以及混合雲架構規劃遷移與維運，在法規面ISO27001、PCIDSS遵循解決方案，因此對於資安規劃與架構設計方面，具備許多的經驗以及務實的實踐控制能力將安全措施進行導入。」Timo 分享道，「我們所面臨的資安風險威脅裡，即便在不同的產業中領域中，在IT管理環境裡面，所面臨的挑戰都是相同的，所以我才能將這種經驗和資安意識與安全強度引進零售業。我們與終端使用者合作，保護銷售管道及相關的 B2B 和 B2C 連結，我還想提供與更多新技術與思維來提升所處的產業裡以及保護的等級。」

解決方案

恆隆行實作了 CyberArk 身分安全平台的多項功能，其中包括 CyberArk Privileged Access Manager Self-Hosted (PAM)、CyberArk Endpoint Privilege Manager (EPM) 和 CyberArk Adaptive Multifactor Authentication (MFA)。該平台供公司全體員工使用，包括開發人員、延伸的 IT 人員和第三方廠商。單獨選用 CyberArk Adaptive MFA 解決方案，即可保護多個特權帳戶員工、近千個工作站端點，以及全體員工中數百名使用者的存取權限。

CyberArk 還用於移除過多的本機管理權限、強制執行職位特定的最小特權，以及限制使用者對應用程式不受控制的存取權限。系統現在會監控並保護核心業務系統和資料庫伺服器、記錄動作和事件，並且有效管理 IT 部門的特權存取。恆隆行還將 CyberArk 用於支援合規性要求和目標。這個解決方案會自動記錄活動，例如員工請求和使用特權存取期間。該公司用它來提供稽核與合規性所需的動作和事件歷史記錄。CyberArk 進一步提升了端點安全，有助於阻止使用者將未經授權的軟體下載和安裝到其本機裝置。

恆隆行目前規劃擴大 CyberArk MFA 的使用範圍，並加入 CyberArk 單一登入 (SSO) 技術實現無密碼存取。「將 CyberArk MFA 與 CyberArk SSO 結合之後，我們可為全體員工啟用無密碼存取。透過減少記住和輸入密碼的需求，我們就能提升使用者體驗、降低憑證盜竊的風險，並且簡化身分和存取的管理。」Timo說道。

成果

CyberArk 平台可讓恆隆行將身分和存取管理、端點特權安全和特權存取管理控制集中到單一來源的解決方案中，同時簡化政策與合規性要求的管理。

「CyberArk 大幅降低了與身分盜竊相關的網路風險，真的超出我的預期。」Timo 強調道。「一開始，我想改善並保護密碼管理和控制。但現在，CyberArk 將我們的安全性提升到了另一個層面。不但保護著我們的端點及加入我們網域的個人電腦、改善法律合規性，還能支援混合雲端環境：同時提升員工生產力。在恆隆行推出的所有安全產品中，CyberArk 是最為重要且影響最直接的系列。」

– Timo Lu, Head of Information Technology, Heng Leong Hang

為滿足其安全策略和特定特權存取規範的要求，恆隆行實施了 ISO 27001 和 ISO 27701 等多項標準。「CyberArk 身分安全平台的合規能力相當出色，而且 CyberArk 不斷逐步發展其監管功能。」Timo承認道。「業界還有些其他的公司會使用 Okta 或 One Identity 等工具，但 CyberArk 是以安全第一思維設計的解決方案，並在身分安全平台內統一，該平台提供了縱深防禦保護、保護了工作站和伺服器、實施了最低權限並與地端和雲端環境充分整合：以上這些對我們來說都是關鍵所在。「它結合單一登入、MFA、瀏覽器安全、應用程式和特權控制，更加入活動記錄，所以非常完善且全面。」

Timo 認為身分保護就是改善安全的重點。「實施全面的身分安全策略可讓我們大幅降低網路風險。」他解釋道。「我們面臨的很多危險都是因網路釣魚而起。但有了優質的垃圾郵件服務和 CyberArk Endpoint Privilege Manager，使用者點選網路釣魚電子郵件時就可以放心，因為病毒或勒索軟體不可能會執行。因為它強化了作業系統並讓瀏覽器受到保護，更不會讓任何人輕易竊取 Cookie、憑證、安全性權杖、帳戶和密碼資訊，藉此進一步降低風險。。其實透過 CyberArk EPM，我們幾乎徹底解決了因端點而引發病毒和勒索軟體的風險。這些全都是在 IT 工單數量減少的背景下進行，而我們使用 EPM 實施了自動提升原則；這為 IT 管理員省下大量時間，讓他們不必走到機器前或從遠端登入，對我們員工來說也是，因為他們不用密碼即可執行具有提升特權的程式。這毫無疑問地提升了整個組織的營運效率。」

除了特定保護之外，CyberArk 還在品牌和聲譽管理方面扮演關鍵性的角色。「恆隆行在我們的整個混合基礎設施中使用 CyberArk 實施最低特權存取，讓功能變得更強大，並且將智慧特權控制擴展至雲端。最後，大幅降低整體風險。」Timo 說，「透過大幅減少安全事件和個人資訊外洩的情況，我們為客戶引進的價值已體現在對我們品牌的信心上。這對我們的客戶和業務來說是很重要的好處。」

另一個與 CyberArk 合作的主要優勢在於：減少 IT 人員在管理安全措施和處理特權和存取時所需的時間和努力。現在，有很多過去需要手動的操作都會利用 CyberArk 功能自動化進行。Timo 將 CyberArk 與替代解決方案進行比較時，發現這是更強大的選擇，因為這不僅能降低風險，還可節省時間並縮減所需的人力。

「CyberArk 的價值源自我們知道公司的人員、資料和系統都會受到保護。」Timo透露道，「還有另一個價值的理由：成本。過去企業裡要麼必須聘用大量 IT 人員來解決安全問題，要麼必須組成大型的內部安全團隊。但在我透過 CyberArk 解決這些問題時，我的 IT 團隊就能夠專注於優先順序更高的活動。我們能夠強化資訊安全，並且縮減人力投入，這就是使用 CyberArk 的整體價值。」

隨著零售業轉型，恆隆行以客戶的利益為出發點引領創新。而且作為日益數位化的雲端型企業，該公司必須將這種創新思維應用於保護身分免受攻擊的方式。「CyberArk 透過其平台、產品和人員向我們證明，他們與我們的夥伴關係實現了全面的身分安全願景。」Timo 說道，「CyberArk 看到了我們廣泛的身分、端點和存取形式，並且瞭解所有這些變數之間的連結：提供確保每個身分只有適量存取權限的控制項目，以便有效且高效地完成其工作。