透過以下方式分享:
在疫情期間,企業為降低成本以及緩解資源難題,開始轉向自動化,來處理瑣碎繁複的工作,但在此同時,他們也必須因應遠端工作模式以及敏感資料可隨處存取等新常態所產生的各式挑戰。
根據 Gartner 的研究:「目前 60% 的知識工作者仍採用遠端工作模式,且至少有 18% 不會返回辦公室。」遠端工作可能導致暴露機會提升,並增加資安風險。駭客敏捷、動作快且不會輕易放棄。他們會持續尋找可利用的漏洞,試圖存取企業的敏感資料。令人遺憾的是,他們的網路攻擊屢屢得逞。
「超過 80% 的美國公司表示,有駭客成功駭入他們的系統,試圖竊取、更改或公開重要資料。[...]亞洲、歐洲、非洲和拉丁美洲等地超過 85% 的公司表示他們也遭遇過駭客攻擊。」相應的代價可能相當高昂。資料外洩就算只發生一次,公司也可能因為補救作業以及業務和聲譽損失,虧損數百萬美元。
將自動化移轉到雲端原生架構可實現更快的擴展、較高的可用性、更精細的安全性,還可激發創新。為了跟上業務發展的腳步,您的自動化平台需要:
- 將暴露風險和安全事故的影響降到最低。
- 提供強而有力的主動風險緩解和災難復原策略。
- 符合關鍵產業標準。
- 透過整合來提供強大且集中化的驗證、存取控制和擴充功能。
除了這些平台考量之外,您還可以採取以下五個步驟,來保護您的自動化平台、開發生命週期和資料。
步驟 1:妥善定義和控制驗證和存取權限
首先,要確認任何存取您系統的使用者都必須經過驗證,因此,多層驗證和精細的存取控制,對於控制嚴格的環境來說至關重要。為確保建立正確的驗證和存取權限,下列內容是應納入考量的最佳實務:
- 在自動化平台的基本架構和主要功能中建立各司其職的不同角色,例如 RPA 管理員、機器人構建者、機器人測試者 和 RPA 操作者。根據使用者的支援和疑難排解作業功能進行授權,授予他們有限制的內容存取權限。此種控制方式能夠區分職責和建立高精確度的角色,並提供精細的存取控制,足以滿足最嚴謹安全的合規監管環境之需求。
- 確保您的自動化平台能提供嵌入式認證保存庫,或與認證保存庫整合的能力。認證保存庫會儲存所有系統和使用者認證,以及自動化程序執行期間所需的認證。因此,機器人構建者可在自動化過程中,直接避免硬編碼認證與相關敏感資料/參數的不安全作法。
- 建立能管理使用者驗證的多個選項。舉例而言,應建立可用的角色和權限,例如使用 LDAP 的 Active Directory、使用 Kerberos 的 Active Directory、SAML2.0 以及使用嵌入式認證保存庫的本機驗證。
步驟 2:藉由健全的軟體開發生命週期管理支援,建立具有高可用性的開發環境
確保存取權限安全無虞之後,您就可以把焦點轉移到其他地方,消除任何潛在的漏洞。例如,以下最佳實務讓自動化軟體機器人得以成功、安全開發:
- 考量持續進行多工具、多層掃描的原始碼開發安全性計畫/協定,藉此偵測和限制軟體漏洞。
- 確保您的平台提供商可以透過代碼掃描主動進行滲透測試,檢查漏洞。
- 利用端點檢測與回應 (EDR) 和資料外洩防護 (DLP) 解決方案,主動強制執行原則、偵測異常情況並修復威脅,進而確保自動化執行裝置的安全性態勢。
- 評估元件架構。它應能無縫融入您現有的高可用性/災難復原 (HA/DR) 基礎架構和流程。
步驟 3:保護靜態、使用中和傳輸中的資料
您是否備有端到端資料保護措施?維護關鍵業務流程和敏感資料的機密性和完整性至關重要。您的自動化平台應提供保護措施,保護靜態和傳輸中的資料,以及在各獨立系統上使用的資料。部分保護範例包括:
- 加密本機認證並選擇機器人採用的執行階段資料,使用認證保存庫為敏感的設定參數以及與內建版本控制和電子郵件服務有關的詳細資料,提供安全儲存
- 採用資料管理和去身分識別程序擬匿名化。由於擬匿名化將資料轉換為人工識別碼,若未得知獨立保存的額外資訊,便無法使用資料來識別自然人。
- 所有網路服務都應採用 Transport Layer Security (TLS) 1.2 (或其他產業標準) 來確保元件之間傳輸期間的資料安全性和完整性。
- 自動化平台應遵循產業標準加密技術,確保您的資料妥善加密。使用者的進出流量應使用 HTTPS + SSL / TLS 1.2 加密以與自動化環境對話。服務中儲存的資料 (例如靜態資料) 應使用 AES-256 加密。
步驟 4:合規性
如今您的員工可存取企業中符合其職位的區域,還能在安全環境中作業,是時候退一步,好好審視合規性了。
合規評估和管理聚焦於評估系統和流程,以確保滿足產業標準和法規要求。這是一項應當持續進行的措施。隨著企業成長,部門會提出解決方案以協助擴展。新的應用程式必須經過驗證,這樣它們才不會危及多項安全合規性。平台上全面且持續性的稽核記錄功能,將有助於確保企業級的安全性和品質合規性。在受到嚴格監管的產業當中 (例如生命科學或金融領域),如果不符合合規標準 (包括 HIPAA、PCI-DSS 和 FISMA),組織可能會遭受罰款和其他懲罰。
步驟 5:主動監控安全營運
安全維護並非一蹴可幾。漏洞和駭客技術日新月異,隨時可能出現新情況。因此,您的安全營運應該受到持續監控,並保持高標準要求。為此,請遵循以下最佳實務:
- 確保您的自動化平台提供安全的軟體開發生命週期 (SDLC) 流程,由具有不同角色和權限的不同管理員執行檢查和認證。
- 必須內建嚴格的職責分離和多層控制,用來確保軟體開發管道的可靠性、可擴展性、高效性、安全性及合規性。
- 擁有專門的安全工程團隊負責設計審查、威脅模型分析、手動代碼審查和抽查,以及持續性滲透測試,確保您的雲端安全性。
- 除了安全營運,還應主動管理災難復原,以便事件監控和通知能夠讓您及時處理情況。
Automation Anywhere 可協助您加強防禦,透過我們的雲端原生 Automation 360™ 平台和支援來保護您的資料和營運。