RPA、软件机器人或机器人,几乎可以影响每一个企业应用程序,包括CRM、ERP以及与这些应用程序相关的所有机密数据。因此,流氓机器人软件或错误配置的机器人会给企业带来风险,让您的企业遭受数据盗用、名誉受损和业务中断等损失。
攻击者一直都在寻找漏洞,突破企业防线并窃取数据,安全性欠佳的RPA解决方案更使他们有机可乘,例如:
- 意外信息披露——机器人可能因设计不当而将敏感数据暴露给互联网或其他不安全的数据源
- 加密和访问控制易受攻击,甚至缺失
- 弱身份验证功能
IT和业务主管需要确保他们选择部署的自动化解决方案不会影响内部和外部的安全性与合规性。在选择RPA解决方案时,一定要选择把安全性和可靠性放在首位的解决方案。
为了保护企业和客户,您需要的安全解决方案至少应具有这四项关键功能。
01、多因子身份验证
未经事先身份验证,严禁对RPA进行任何访问或操作。这项规定既适用于人类,也适用于机器人,还适用于无人值守自动化和有人值守自动化流程。这可以通过Enterprise Control Room管理和监控RPA基础架构的所有流程来完成。
Control Room身份验证包括使用LDAP与Microsoft Active Directory、Kerberos与Active Directory集成进行认证,还包括使用嵌入式Credential Vault(凭据保管库)或CyberArk等外部第三方基于权限的访问系统进行本地身份验证。
要完成一项任务,可能需要对一个人及其凭据进行一次身份验证,也可能需要对多人、其凭据以及应用凭据进行多次身份验证。因此,您需要能够支持单因子身份验证和多因子身份验证等各种情况的解决方案。
02、全面的访问控制
成功的身份验证仅仅是需要考虑的第一级安全性。RPA平台的典型架构和主要功能决定了您必须对机器人的系统访问进行集中管理和控制。为此,RPA需要提供丰富的基于角色的访问控制(RBAC)功能,来确定哪些用户有权在系统中执行哪些操作。
Enterprise Control Room提供多重身份识别与验证,限制用户以及有人值守机器人和无人值守机器人对系统和数据的访问。另外本着最小权限和职责分离的原则,该解决方案还提供不同的“管理员”(Administrative)身份和操作步骤。
借助提供自定义功能的精细RBAC,将职责分离提升到更高水平。“管理员”可以轻松定义自定义角色,设置对象和功能的访问权限,包括用户管理、授权、仪表板及审核日志等。这一新增功能使不同的业务部门和职能领域可在共享机器人的同时明确划分访问权限。
此外,对于使用 RPA创建的机器人,您可将操作权限仅限定为一组特定的用户ID(人或系统),从而进一步加强职责分离与审核能力。
03、端到端数据加密
维护数据的机密性和完整性对于安全环境而言同样重要。合格的解决方案不仅应该能保护静止和传输中的数据,还应能保护系统正在使用的数据。
对于静态数据,会对机器人使用的本地凭据和选定的运行时数据进行加密,并为敏感配置信息提供安全的存储环境;对于组件间传输的数据,通过传输层安全协议(Transport Layer Security, TLS)提供保护;而运行时,安全性则通过分布式凭据保护来实现,并不在本地存储任何凭据。
04、应用程序安全性
除了可信任的平台解决方案,可信任的应用程序即运行在平台上的机器人同样关键。这些机器人是否已经过测试和认证,能够最大限度地降低风险?
通过恶意软件扫描检查每个机器人是否存在安全漏洞。如果您的企业需要更多保护,可使用提供更高级别安全功能的机器人,包括威胁模型和静态源代码分析以及用于检查企业防御情况的渗透测试。
本文是51RPA中文社区原创文章。发布者:RPA小当家,转载请注明出处:https://www.51rpa.net/rpanews/7238.html
