資安防護下的數位身份識別與管理 - Okta
新冠疫情爆發後,為了防疫,部分公司開始實施遠端工作,員工可以透過更多設備、網路和程式連接工作,也促使公司更新資訊軟體,採取更靈活的資安軟體。不只一般公司,與資產相關、重視資安的金融業,也在科技日新月異的發展下推動無密碼與多因子認證登入。隨著企業資安意識提升,身分識別與管理 的軟體被企業所知並廣泛採納,讓我們來看看相關實際應用與如何使用在金融產業。
數位身份識別與管理
一、簡單介紹 IAM
身分識別與存取管理IAM (Identity and Access Management) 是公司資安的守護者,管理一組指定使用者數位身分的方式,執行使用者身分與允許他們進入哪些權限。可想像成重要設施門口的保鑣,具有允許進入、禁止進入、以及VIP 區域的名單。
二、身分識別的重要概念
在現實生活中若要驗證個人身分,常透過身分證或護照,雖然不會每個事實都被記錄在上面,但也包含足夠的個人特徵可以快速比對身分,而在電腦系統上這些特徵稱為「驗證因素」,常見包含以下三種:
- 使用者知道的內容 僅限一個使用者擁有的知識,例:使用者名稱+密碼組合
- 使用者擁有的內容 指有發給授權使用者的實體權杖,想像成一把進入房屋的鑰匙,只有擁有、租用、或以其他方式獲准的人才會擁有鑰匙。常見登入時以簡訊或信箱傳遞一次性代碼,輸入代碼後以顯示使用者擁有其他人沒有的物件─那台私人智慧型手機。
- 使用者本身的內容 指某人身體的實體特徵,如Face ID或指紋掃描功能。
在現實生活中,身分由個人特徵、歷史、位置等因素混合;而在數位世界中,使用者身分由「驗證因素」組成,這些驗證因素以數位方式儲存在身分識別的資料庫中,在登入時檢驗身分以防止假冒者。
三、存取管理
存取管理是控制和追蹤存取權限的流程。每個使用者有不同的存取權限,如同低層級員工雖能存取公司電子郵件與執行文件,但無法存取薪資紀錄或機密文件。
四、IAM對雲端運算的重要性
使用者可透過網路存取資料,不受位置和連線裝置限制,防疫期間常態的遠距工作,也讓身分識別成為控制存取權限時的核心判斷,決定使用者可以接觸或存取到哪些雲端資料。
在資安考量上,過往如果網路罪犯想盜竊公司資訊,主要是透過網路周邊,通過保護公司網路的防火牆,或賄賂內部員工以實體方式存取伺服器。如今雲端操作普及,網路罪犯若要存取檔案,最需要的是員工登入憑證(如名稱和密碼)。而採用IAM 可提升存取權限保護,防止因身分被盜的資料外洩,在雲端運算和管理遠距團隊都非常重要。
Okta 公司介紹
一、簡介
Okta 是全球主要的資安服務商之一,公司的Okta Identity Cloud 執行身分認證與存取管理。目前在不同產業服務超過10,000使用者,包含大企業、中小企業、學校、非營利組織、政府組織等。收入主要來自訂閱制。
2009年成立,2017年上市,2021年7月完成併購同樣執行IAM 服務的新創公司Auth0。總公司位於美國舊金山,在加拿大、英國、澳洲、新加坡、日本等地區設有辦公室。
二、服務重點
a. 單一登入Single Sign-on 藉由單點登入,控制使用者以登入過的帳戶驗證,和授權使用資源,讓員工可以免除重複登入。6000多種各種SaaS 企業如adobe, salesforce, zoom 都有採用。
b.零信任Zero trust 零信任的「零」並不是指開放的意涵,而是代表「完全不信任」,因此每個登入環節都會進行驗證,所有驗證都通過後才會讓客戶通行,在現今遠端工作下,讓開放較大權限給員工的公司有更完整的資安架構。
三、利潤
主要利潤分成訂閱收入、專業服務與其他部門收入。
a. 訂閱為主要收入 Okta 提供SaaS 服務,收入主要來自客戶使用雲端軟體的訂閱費用,提供現有客戶續訂與追加其他項目的服務。
2021 年Q3起,Okta 約 95% 的總收入來自訂閱,總額為 2.0674 億美元。相比 2020 年Q3訂閱的1.4452 億美元增長 43%。收入的增長主要是由於新客戶的增加、用戶的增加以及向現有客戶銷售的額外產品。
b. 專業服務與其他部門收入 協助客戶實施和優化Okta 產品時產生收入,包含培訓服務、應用程序配置、解決客戶需求、客製化服務等。
2021 年Q3,Okta 僅 5% 總收入來自專業服務和其他收入,達 1064 萬美元。該部門收入從 2020 年Q3的 852 萬美元同比增長 25%。專業服務收入的增長主要是由於新客戶增加,連動增加其他服務的需求量。
收購Auth0擴張服務
一、介紹Auth0
Eugenio Pace 和另一位共同創辦人過去為微軟同事,2013年共同創立 Auth0。透過Auth0 WebAuthn Passwordless 無須輸入使用者名稱與密碼,提供生物辨識特徵(如臉部辨識或指紋)登入服務,著重安全性與便利性,不只為終端使用者提供順暢體驗,也替企業減輕巨大密碼管理成本。
使用者可以每次逐步註冊一台載體,而非一個集中的入口網站,可以靈活擁有使用多種免密碼的身分驗證,協助更快的從密碼過渡到免密碼,讓使用者和組織皆受惠。
(補充:Verizon發布的《2021年資料外洩調查報告》顯示,有84%的資料外洩是由密碼外洩造成的。免密碼身分驗證能夠減少此類問題。) https://www.businesswire.com/news/home/20210615005345/zh-HK/
二、背景與動機
Okta 和Auth0 皆為提供IAM 服務的公司,2021年3月,Okta 宣布將以65億美元股票收購同為新創的Auth0,並在同年七月底前完成。
Okta 和Auth0 的服務差異在於Okta 提供各式軟體服務,包含 Gmail、Slack、Salesforce 等的 IAM 服務; Auth0 則為開發者工具,讓開發者透過API 自訂身份認證流程,並內嵌其中。
過去Okta 業務主要服務終端使用者,有了Auth0 加入,將前端軟體客戶納入服務範圍,整合前端及後端服務。
三、兩家公司看待收購
Okta 共同創辦人兼執行長Todd McKinnon 表示:「Okta 和 Auth0 之間是互補關係,這次收購得以豐富Okta 現有服務,包含開發者協作和CRM 等面向。」
Auth0 共同創辦 Eugenio Pace 表示透過與Okta 的結合,可以滿足使用者、企業、和員工需求,並提供簡易、便利、且高安全性的服務,持樂觀態度。
Okta實際應用─FedEx與博通
一、FedEx
2020疫情剛開始延燒時,FedEx 即開始採用Okta身分雲軟體,將Salesforce、Zoom、Office 365 等1000多個程式移到Okta,讓全球超過85000名員工受惠,簡化登入流程時,也確保內部資訊安全。
二、晶片大廠博通
博通以併購大型企業聞名,平均每年完成一至二次的併購。Okta 快速提供新成員身分認證,讓新進員工快速上手使用,讓公司在擴增或轉型時,內部建設也能彈性因應。
資安軟體公司近期發展
一、Okta資訊外洩事件
就在今年三月的最後一周,三大科技公司─微軟、Okta 和HubSpot 先後公告資訊外洩,其中LAPSUS$ (駭客組織)是Okta 和微軟這次資訊外洩的攻擊者。Okta 外包部分服務給Sitel 公司,1月21日Okta 收到一名Sitel 工程師的電腦遭到LAPS$ 攻陷的警報,由於這位工程師的存取權限不高,無法編輯資料庫,進而縮限攻擊影響範圍。
儘管沒有造成嚴重損失,但這次事件也讓Okta 得到三個收穫:
- 從設備到SaaS 的安全 不能只有保護公司與軟體的SaaS 環境,用戶使用的電腦設備如果沒有確保安全性,資料也可能隨時外洩。
- 多因子身分認證 (MFA) 用戶名稱與密碼、一次性代碼、touchID 登入等,採用MFA 可以提高阻擋資訊外洩的可能性。
- 3.事件監控 當資安人員發現不尋常行為,如MFA 因子更改、密碼重置、未知位址登入等,都應立即採取行動,並每天檢視。
小結: 資安發展進步,病毒的攻擊也千奇百怪,僅靠高強度密碼與單一登入已防不勝防,唯有不斷關注SaaS 安全性並採取自動管理代替手動保護,才能幫助團隊提高安全性與效率。
二、 FIDO標準逐漸推廣
今年五月,FIDO、蘋果、Google與微軟的共同發表聲明中,表示將擴大推動無密碼登入技術,讓用戶能更安全便利的登入網路服務。
FIDO 是線上身分認證的一種技術,聯盟於2012年成立,會員包含google、微軟、蘋果、VISA、神盾等產業魁首,成立宗旨是希望透過科技解決傳統密碼認證,透過綁訂Google、蘋果等帳號,以身分認證登入連動程式與網路,並以一次性代碼、指紋或臉部辨識等方式進行多重認證,兼顧便利與安全性,此標準也被廣泛使用在各產業。
近年金融業者也陸續將FIDO 技術導入產品,如中信、國泰、台新等,民眾常用的數位銀行App 也能見FIDO 的應用,以生物驗證的方式更快速安全的辨識用戶。
FIDO 是金融業資安維護的基準,因應疫情下的遠距工作、生物辨識等科技進步,為Okta 這一類別的身分識別軟體公司帶來許多機會與益處,也讓數位身分識別在金融業資安維護奠定重要基礎。
馬克碎念
因為疫情爆發,更多的線上服務提供給民眾使用,台灣金融業近年對於資安的意識也提高了不少。首先金管會在2020年要求金融機構與純網銀設置資安長,推動企業全體重視資安文化,由上而下培養資安意識。近期也聚焦軟體供應鏈資安風險,預計在2022年年底前,揭露供應鏈相關資安管理規範。
面對越來越多元的數位金融需求,許多金融業核心系統進行了升級與改造,各家機構設計均不相同,所要提供的特色與功能也差異頗多,這樣的條件下要打造滴水不透的系統是非常困難的,因此事件發生時能迅速因應,或是應用新的科技來預防事件的發生也同等重要。 金融機構所面臨的資安風險在未來會有更多的挑戰,而這些考驗可以幫助金融機構更快地進行數位轉型,推動下一個世代的金融服務形成。