機器人流程自動化 (RPA) 的崛起成為新的威脅媒介
機器人流程自動化 (RPA) 是在 1990 年推出的最早的自動化工具包,直到 2020 年,在全球瘟疫和全新的遠端工作模式中,對 RPA 的關注和使用率創了新高。為什麼?因為透過 RPA,數位員工能夠接管傳統上由人力執行的重複性手動任務,將時間、精力和關鍵人力資源釋放出來。
Gartner 的研究副總裁 Fabrizio Biscotti 說到:“RPA 專案的關鍵驅動原因是它們提高流程品質、速度和生產力的能力,隨著組織為了滿足 COVID-19 期間降低成本的需求,每一項功能都變得越來越重要。組織可以透過投資 RPA 軟體迅速在其數位優化計畫中取得進展,而且這種趨勢短期內不會消失。”事實上,Gartner 預測,到 2022 年,全球 90% 的組織將採用 RPA,此外,到 2024 年,大型企業預計會將其現有的 RPA 組合的容量提高兩倍。
然而,在當今世界,我們在採用新技術時,網路安全往往是事後才想到的。更重要的是,在採用 RPA 時,組織不僅是採用新技術 – 包括隨著數位時代所伴隨著威脅媒介和不良行為者,同時也在採用新的身分 – 可以存取 DNA、網路以及業務的來龍去脈的機器身分。因此,隨著 RPA 的使用不斷加速,組織必須主動考慮不可避免的網路安全問題,並為此做好相應的準備。
為什麼 RPA 具有風險?
為了主動降低任何 RPA 風險,組織必須先了解 RPA – 這些擁有自己身分的新的“數位員工”。
大都會人壽保險公司 (MetLife) 的 Gaurav Priyadarshi 寫到:“將一項新技術引入到組織總是伴隨著某些可能被駭客利用的漏洞。例如:自動化解決方案或機器人可能不具備識別惡意軟體的功能或能力,從而增加威脅,為駭客提供機會。”
這些新的數位身分擁有“思想”、能力和存取權限,可以存取敏感資料,如果沒有得到適當的保護,一樣會有權限被攻擊的風險。
Forrester 預測,2021 年 33% 的違規行為將與內部威脅相關,這意味著今年發生的違規事件中有四分之一以上是由於員工憑證被利用 (即不良行為者利用內部存取權限) 或內部網路安全疏忽造成的,而 RPA 只是不良行為者利用未受保護或未受管理的內部存取或憑證的另一種途徑。特別是隨著“身分蔓延”的擴散,組織發現自己不得不管理更多不同的“身分”(包括人類和非人類),對主動、預防性的網路安全的需求從未如此強烈。
減輕 RPA 相關威脅
零信任 (Zero Trust) -“永不信任,始終驗證”的概念,在今年被譽為最佳實踐作法。
零信任本質上的意思是,如果有某人試圖存取您的網路、資料或是任何商業資產,他們在獲得存取權之前都需要先驗證身分,不論他們是 CEO 或是實習生,這種作法也應該成為 RPA 或數位身分的標準。風險不是一成不變的,且在身分安全方面沒有任何保證,因此零信任的方式是組織在 RPA 方面減輕風險的一種主要方式。
另外一種最大降低 RPA 網路問題的方法是透過第三方安全解決方案,如特權存取管理 (PAM)。透過 PAM 系統,當數位員工需要特權存取時,機器人可以自動檢索憑證,不會曝露給機器人擁有者和開發者,反之,這不僅提供了完整的稽核軌跡 (哪些數位員工存取了哪些應用程式),還提供了個人問責制和證明,證明了沒有人以不合規的方式取得密碼,且不影響機器人的運作速度。
有了連接到 RPA 系統的 PAM 工具,組織可以更好地主動保護、控制和稽核機器人的憑證和權限。選擇一個易於部署的 PAM 解決方案,並無縫整合到您既有的成堆安全解決方案,可以在不影響 RPA 提供的生產力的情況下快速實現 PAM。
與其他新技術一樣,RPA 的最佳狀態是在業務投資報酬率高且安全風險低時,但隨著新的不良行為者和威脅媒介的湧現,組織必須將網路安全納入其業務發展策略的核心,將網路安全串聯新技術,讓它不僅是想法。
文章來源:https://betanews.com/2021/10/30/rampant-rpa-adoption-threat/