用戶的位置對於我們如何經營業務已經越來越不重要。2019 年一項研究指出 ,62% 的受訪者至少有一部分時間在家工作,其中至少82% 表示他們計劃維持或增加遠距工作比例。此外,一半以上(51%)未做過遠距工作的受訪者都想開始嘗試。
必須記住的一點是,這些數字未納入像員工一樣執行公司基本工作的遠端供應商數量。這些用戶通常也像員工一樣需要存取關鍵系統。當然,為遠距工作者提供更大的方便也會帶來更大的資安風險。為了配置存取權,機構組織通常依賴不安全且效率不彰的方法提供安全存取,例如一般依賴的虛擬私人網路(VPN)。
然而,遠距工作者的特權未必相同。有些可能只需要存取電子郵件及少數業務應用程式,另一些可能需要存取關鍵的業務應用程式,例如薪資、人力資源及銷售與行銷資料。執行委外服務台支援作業的外部 IT 服務商需要與內部 IT 供應商相同的廣泛存取權限。
今天,我們將指明五種經常需要升級系統特權存取的遠距工作者,並說明利用CyberArk Alero執行特權存取管理(PAM)如何協助組織確保能夠安全且輕鬆存取 CyberArk 管理的關鍵系統。
1. 遠距 IT 人員或公司安全人員
這些用戶包括網域管理員、網路管理員等人員,他們以往一般在辦公室內存取關鍵內部系統,但現在可能需要遠端存取。當 IT 或安全人員在辦公室防火牆之外工作時,每天都需要安全管理員費神留意。
確定遠距 IT 和安全人員所需的精確存取級別並實行最小特權以確保他們僅存取所需內容極其重要。傳統的解決方案(例如 VPN)無法提供必要的精細分層、應用程式層級存取,因此不能有效達成這些目標。指派這種精細分層存取權非常重要,因為它有助於防止 Windows 管理員取得根帳戶存取權之類的情況。
您必須提前整合安全工具與目錄服務以自動化提供特定的存取權。如此一來,當計劃外的遠距工作激增時,才能確保在建立安全的在家工作環境時,IT 或安全功能不會出現漏洞。
2. 第三方硬體及軟體供應商
第三方硬體及軟體供應商(包括 IT 服務供應商及外包契約式服務台支援)經常提供遠端服務及維護,因而需要特權升級。這類供應商通常需要管理員級別的存取權,以便在各種 Windows 或 Linux 伺服器或資料庫內執行任務,以及應要求執行修補、系統更新等作業。
他們每個人基本上都等同網域級別的管理員,因此若未適當監控及正確配置權限,可能會對整個環境帶來嚴重禍害。然而,由管理員依個案情況逐一確認這些用戶的身份並評估遠端供應商的個別存取級別可能極為費時。確保驗證所有這些用戶的身份並提供正確的存取權限十分重要。
3. 供應鏈供應商
當支援產品的生產或交付不是組織的生存命脈時,它們通常會委託專門的供應鏈供應商提供協助。這些遠端用戶通常有權存取網路,以監控零售或生產組織的庫存量。他們還可存取與預測產出、品管控制及其他關鍵系統有關的敏感資料,而這些系統可能與工業控制系統及運作技術(ICS/OT)或現場供應鏈流程有關。
這些供應商可能不會被納入安全的第一考量,因為他們沒有資格成為管理員,但供應鏈供應商的存取權可能會被惡意攻擊者利用來危害組織,或因內部不慎誤用而成為嚴重問題。
4. 服務公司
執行法務、公關及薪資等部門工作的服務公司可能需要存取特定的業務應用程式,以便提高效率。確認這類用戶的身份並實行最小特權原則以確保他們未取得其職務範圍之外的存取權,或保留存取權的時間超出所需。讓法律服務公司存取薪資資料沒什麼實質意義,而只會增加潛在風險。
客戶關係管理(CRM)、企業資源計劃(ERP)、雲端主控台等業務關鍵應用程式對於業務的持續性及運作至關重要,若落入有心人手中,保存在這些應用程式內的資料可能就十分危險。確認誰有權存取這些應用程式極為重要,能否將攻擊者在業務應用程式之間橫向移動的能力減至最小,很可能便是導致重大資料外洩或維持業務正常運作的關鍵。
5. 外部顧問
業務及 IT 顧問有時需要特權存取,以確保有效完成依契約執行的專案,但他們僅需取得契約期間的存取權。這類臨時性供應商在每次履行職務時通常只需要數天、數週或數月的存取權。但在期間內,外部顧問通常擁有對特定業務領域的廣泛存取權限。
及早確認這些顧問的身份及他們需要的存取權類型(以及存取目標和時間)將有助於降低風險及保護業務。此外,外部顧問的存取權應在其有效期間受到嚴密監控及保護並在任務結束之後自動移除。
想像這個情境:一名顧問在參與一個為期三週的專案之後收到差評,收到的酬勞也令他不滿意。如果他們的存取權未自動移除,很可能在契約期滿之後仍持有高級別的存取權,然後為了報復而利用存取權對組織造成無法彌補的損害。雖然看似不太可能發生,但可說明高級別的存取權若未定期加以監控及更新將可能造成的傷害。
隨著越來越多公司倚賴遠端用戶作為其日常業務營運的一員,他們必須了解在辦公室以外登入其系統的各種用戶類型,更重要的是管理、監控及保護該存取權。
雖然感覺是一項艱鉅的任務,但 CyberArk Alero 這個軟體即服務 產品可協助組織為需要存取 CyberArk 管理下的關鍵系統的遠端用戶提供及配置安全存取。它可針對任何數量的遠端用戶輕鬆部署且無需使用 VPN、代理程式或密碼。
