日益增加的业务流程自动化需求,使流程自动化机器人(Robotic Process Automation,简称RPA)的知识得到逐步普及,相关技术也得到广泛应用。在满足了业务便利与技术革新的诉求后,随之而来的还有新的风险。同时,RPA技术也为网络安全的保障提供了新的可能性。
RPA的安全性
在当前迫切需要数字化的商业环境中,RPA不可或缺地成为了企业数字化战略的关键组成部分。由于RPA技术可应用于企业的各个领域,RPA项目既要通过保护机器人平台来防范网络风险,也需要利用RPA技术来执行更有效和高效的网络运行操作。接下来我们将介绍六个安全领域,通过它们来了解RPA的安全性。
电子身份和访问管理、安全操作、数据分类和保护、响应、软件和产品安全、管控,这六个网络领域,在RPA项目中扮演着最重要的角色。
电子身份和访问管理:管理者需要对机器人平台及机器人的访问、操作、修改、配置和数据等权限进行安全管理和审查,制定相应制度,包括访问控制、访问配置、访问认证和特权访问管理等方面。
安全操作:机器人使用的场景需要建立相应的安全体系和预案以应对威胁风险,如网络安全威胁检测响应(TDR)、威胁暴露管理(TEM)等。
数据分类和保护:对于机器人平台及机器人涉及的数据,需要建立相应的数据安全体系,包括数据分类、数据保护、数据用量监测和数据隐私等。
软件和产品安全:对于RPA软件本身以及相关系统的安全性,需要建立相应的监测制度,如威胁建模、静态/动态代码扫描和漏洞识别等。
响应:对于存在的风险,企业需建立全面并适合的响应方案,包括生态系统管理、关键资产的保护、相关人员的意识防范等。
管控:通过以上的五个领域,不断加强RPA安全的管控措施,完善管控政策,制定管控标准,以建立更贴合实际、可持续发展、能应对更多风险的管控体系。
RPA在网络安全领域有哪些风险?
由于RPA与传统IT的差异,机器人和机器人平台可能会引发新型攻击,其风险包括泄露、窃取、销毁或修改敏感数据,访问未经授权的应用程序和系统,甚至利用这些漏洞进一步访问企业的安全系统。安永团队认为,企业需要建立置信的RPA平台来应对相应的风险,包括网络安全风险。我们RPA项目的组织架构简单分为如下三个职责:
机器人开发者:负责开发机器人程序,对程序代码有编译的权限。
机器人控制者:当企业含多个机器人流程时,流程控制者拥有流程配置和安排等的权限。
机器人运行者:通常为业务负责人、机器人流程的实际使用人。
其中可能涉及的常见风险及案例,包括滥用特权、数据泄露、安全漏洞和流程中断:
如何保护RPA生态系统安全?
在设计RPA安全保护机制时,必须考虑到整个机器人生态系统的技术、流程和人为因素。设计中,应该涵盖从需求、选择、架构、实现到持续运行的整个产品的生命周期。
结合以上考虑,设计应包括以下四个方面:
完整性:能否信任我通过机器人获得的数据或结果没有被修改过?
可追溯性:能否通过监控和追踪机器人的活动,从而确定机器人的错误使用会影响其他系统或数据的机密性、完整性和可用性?
机密性:能否保护敏感数据不被机器人开发人员或使用人员有意或无意地泄露?
控制:能否控制访问并保护机器人系统和使用者的特权账号?
结合这四个方面的分析,我们按安全领域的划分,总结了如下具体建议:
我们相信,在RPA的安全风险得到良好控制的情况下,RPA机器人可以帮助企业在各领域实现解放人工并提升效率,甚至在网络安全领域也有良好实践。
RPA在企业安全领域的实践
在现代企业快速数字化转型的背景下,企业员工,包括IT主管、网络安全主管等时常需要在多个应用系统间不停切换、建立联系、收集数据。这样的情况会导致工作效率降低,且极易发生人工失误。为了解决这一问题,各企业也逐步在IT安全领域应用RPA技术来代替人工,以实现以下目标:
1、在发现漏洞或异常状况时,自动部署安全控制
2、快速响应危机事件,帮助最大程度地减小威胁
3、将员工从大量重复性的工作中解放出来,使其专注于更高价值的工作
4、提升决策准确性和一致性
5、打破网络安全专业技术壁垒,节省运营成本
安永团队相信,随着以上目标的实现,RPA技术不仅有助于填补150万名网络安全专业人员的预期人才短缺,更有助于快速检测危机事件,保护敏感数据,从而有效提高数据安全性。
结合以上目标,我们按安全领域的划分,总结了如下案例:
若以上概念太过抽象,那么接下来我们将以身份访问控制和网络钓鱼攻击为案例,详细介绍一下RPA技术在网络安全领域的具体实践。
案例:RPA技术在身份访问控制方面的实践
在访问控制方面,企业可以通过机器人来代替身份访问管理的部分人工工作内容,并在终端系统上自动实现访问任务:
在传统访问控制中,用户需要通过服务台传达给审批小组。审批通过后,由管理团队认证并判断用户属性,再由相应属性的团队开启相应访问权限。限于流程经过多个人工环节,申请访问权限的流程耗时而繁杂。
在RPA的场景实践中,机器人可以替代管理团队,分派认证权限,并自动为用户开启相应权限。其优势在于:
机器人可在1分钟内完成人工6-8分钟的工作
机器人可实现7×24小时持续工作
通过记录执行日志,保证可追溯性
通过查看日志,业务人员可及时响应机器人流程运行期间的异常情况
通过利用多个机器人,可满足工作量较大的情况,确保及时处理业务流程
案例:RPA技术在网络钓鱼攻击方面的实践
网络钓鱼攻击是当今企业面临的最常见的威胁之一。正确地分析和处理一封封网络钓鱼邮件可能需要耗费很多人工时间,因此钓鱼邮件自动化响应将会是最佳的解决方案之一。通过自动化收集数据、分析和补救,企业可以更有效地处理更多威胁警报,从而改善风险管理,减少受攻击的风险。
结语
相较传统自动化技术,RPA在现今业务场景的应用得益于它较短的开发周期和更便利简易的操作模式。在商业数字化和自动化趋势下,应运而生的新风险也不容我们忽视,而RPA便捷、有效、多元化的处理模式,也不仅可以在基础业务流程中运用,应当开拓思维,将该技术扩展到网络安全领域的实践中。慎其隐患,扬其优势,才能更好地利用自动化技术帮助企业走上新的台阶。
声明:本文来自安永EY,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。