身份帳號扮演系統存取登入的第一道門隘,
也同時因為資訊安全日新月異、層層保護,
與其正規戰進攻,不如想方設法獲得合法身份憑據後,
可能更是經濟成本比較低的替代做法。
報章雜誌或 IT 專業新聞媒體常有報導,
針對某某某企業遭駭客入侵成功、竊取大量資料新聞所在多有,
遭遇到的常見的詐騙行為即包含接獲偽冒合法來源的電話,
要求接收認證碼、匯款或提供相關資訊等,進行行銷詐騙。
再者是縝密的系統駭侵攻擊,從最初一般員工的帳號冒用開始,
開始潛伏於組織內部、伺機而動,無論是橫向移動或是提權,
進而完成相關的有價值資訊的獲取或資料外傳的具體目標。
或者是姓名、地址或身分證字號外卸,
更可能遭冒用、假冒身份申請銀行帳戶或信用卡進行非法活動,
或是信用卡號外洩,遭人盜用、盜刷進而導致資金損失。
再者可能是社群媒體帳號遭盜用,遭人刊登爭議文章與訊息等,
都會導致本人遭遇不必要的負面困擾與影響。
身份安全管控,除了有賴系統管控之外,
我們自身也是很好的防火牆措施,
所以像一般日常生活我們能執行的安全檢查措施,
包含適度使用社群網路、選擇想分享的資訊內容,
或是不瀏覽可疑網站或點擊陌生連結,
定期更換使用的密碼、讓系統都保持在最新版本更新等等,
都是平常我們使用電腦、手機可以做的安全管控防護。
除了個人可以就自身擁有的帳號進行安全管控外,
在企業端也是需要審密的考量身份治理的議題,
一方面滿足合規性要求外,另一方面也是強化身份安全管控議題。
而其中身份治理的精神,即為集中查看誰擁有存取權限、
誰提供了存取權限以及誰擁有存取權限多長時間等身份活動情形
對於高度監管需求的金融、製造、醫療跟政府機關等產業領域是十分必要。
關於身份治理 (IGA) 相關的核心管理情境:
身分配置 (User Provisioning):
根據使用者的角色和職責,
提供和撤銷具有正確存取權限和權限的使用者帳戶,
包括透過流程和預先定義的策略進行帳號權限配置自動化,
或適當結合工單系統 (Ticket System) 完成流程管制。
身分生命週期管理 (Lifecycle Management)
用於管理身分的以使用者為中心的工作流程,包含身分從建立到刪除的整體管理。
例如員工入職、離職以及根據角色和職責的變化更新身分權限的相關任務管控等。
同時能夠主動、週期識別、監控休眠活動帳號或幽靈帳戶等,降低未經授權的身份存取風險。
存取和審查支援:(Audit & Compliance)
提供職責分離 (SoD) 管理和存取風險分析等核心目的,
包括定期審查存取權限以降低存取風險確保身分符合各種法規遵循要求。
身份帳號的威脅只會與時俱進,
而身份安全的管控涵蓋的面向也很廣泛,
除了第一線的員工自身的安全意識防護之外,
企業層級角度則有成熟、完整的身份治理的資安規劃,
提供全面性身份帳號整體生命週期的管控。