資安廠商 CyberArk 於 3 月時推出以身分為中心的安全瀏覽器,但「安全瀏覽器」與一般 Chrome 或 Edge 等瀏覽器有哪些不同?為何企業需要導入這項解決方案?
CyberArk 解決方案工程總監 Billy Chuang 接受《科技新報》專訪,現在企業網路邊界越來越模糊,網路配置不再只有員工電腦或專屬機房,而是搭配雲端或許多 SaaS 應用,且員工設備也不見得是公司配給,可能會採 BYOD(Bring Your Own Device),各式應用場景都可能有資安疑慮。
過往企業主資安防護措施就是設立防火牆,或買 VPN,但對現在使用情境來說效益並不大,員工會帶著電腦到處走,也可能直接以智慧手機連線進入企業網路,這些都可能造成資安風險。
其實有許多企業資安事件,不是因公司機房或系統有漏洞,而是員工身分出問題,讓駭客有機會冒充員工入侵企業內網。Chuang 解釋,企業內網每位用戶,無論高階主管或一般員工,都具備一定身分特權,如財務人員,就可接觸到財務報表或營業數據,這就是身分特權。駭客冒充員工進入企業系統後,就可輕易跳過網路層防護。
有些人可能會想「導入虛擬桌面基礎架構(VDI)也能做好企業資安」,Chuang 指現在有許多企業都在尋求取代 VDI 的解決方案,主因在 VDI 建置費用高昂,需許多人力管理,且還要透過多系統做好一個 VDI 系統。
此外,希望導入 BYOD 的企業往往都希望降低成本,但如果特地為了 BYOD 額外導入成本高昂的 VDI 系統,聽起來有點本末倒置。
那麼 CyberArk Secure Browser 的優勢是什麼?Chuang 表示,當員工想要進行公司的作業時,只要登入到此一瀏覽器中即可使用企業內部的應用程式,使用 CyberArk Secure Browser 的好處在於,用戶資料或帳號密碼等資訊都不會被寫入硬碟中,因此駭客在入侵受害者的電腦後,就無法找出快取記憶體中的帳號密碼,也無法撈出 Cookie 資料,避免相關攻擊。
CyberArk Secure Browser 當中也整合了 AI 功能,能夠分析每位員工的使用行為,當某一員工帳號的使用行為出現異常(例如假日突然登入帳號),系統即會向其主管發出示警,也會向這名員工發送電子郵件、簡訊,來告知帳號異常情況。
CyberArk Secure Browser 即是一種特權存取管理(PAM),這個安全瀏覽器不單單僅是一個瀏覽器,整個平台當中還包含了單一登入(SSO)、Web 錄影,以及針對雲端的安全防護等。Chuang 認為,企業透過使用這個安全瀏覽器,能夠節省下許多軟硬體的建置成本,對中小企業來說身分識別的資安導入門檻也能大幅降低。
Chuang 建議台灣企業,不要太過依賴網路層的技術,也就是防火閘道器;因為防火牆的概念往往只能防護從外部入侵的行為,但企業主沒有注意到很多時候,資安危機其實是來自員工自己的使用行為出了問題。
據身分定義安全聯盟(Identity Defined Security Alliance)早先的調查發現,有高達 90% 的受訪國際企業都認為,「身分安全」的重要性絕對是第一,也是許多駭客首要攻擊的地方,因此企業主最先要防護的絕對是身分安全。
Chuang 強調,現在網路的邊界已經越來越模糊,企業很難再透過單一技術在網路層上去保護後端的使用者,除非企業主仍採取固定主機、圈出一個網路範圍,舊方法才能發揮效用。企業不僅要面對員工身分、資料上雲等帶來的資安風險,且也要面對合作夥伴的系統是否安全。唯有做好身分安全才能做出更好的資安防護。
(首圖來源:CyberArk)
從這裡可透過《Google 新聞》追蹤 TechNews