IT業界社群及資訊平台

【Terminator 嘅弱點】提防機械人流程自動化(RPA)漏洞

大家對「機械人流程自動化」 (Robotic Process Automation) 嘅認知可能仲停留喺 「AI」同你爭飯碗嘅年代。其實喺 2019 年,RPA 行業已經增長超過 63%,甚至有預測認爲到 2025 年,全球 RPA 嘅市場份額可以達到 750 億美元!眼見越來越多公司使用 RPA 服務,係時候探討下背後安全問題。

RPA 係指將一 D 非人手操作嘅重複性工作交俾機械人執行。理論上,人類就可以專心搞創新﹑科研等更重要嘅工作。不過,無論你嘅 Idea 有幾咁劃時代,如果負責做野嗰班「友仔」有機會比人 Hack,又或者直接偷埋你條橋,咁就功虧一簣啦!就連 AI 公司 FortressIQ 嘅負責人 Jon Knisley 自己都講明:「RPA 機械人需要同人類同等的權限才可以工作。而機械人工作所觸及的範疇又非常廣泛,常常需要訪問不同應用程式處理文書數據,這類數據資產便容易洩漏。PRA 作爲新技術將會爲網絡安全行業帶來新種類威脅。」

除咗經常接觸敏感資料之外,選用 RPA 嘅過程都會成為一個潛在漏洞。好多 RPA 嘅 Vendor 都提供所謂嘅 No-Code solution,令公司喺唔需要 IT 支援嘅情況下都可以用呢 D 機械人。就正正因為咁,好多公司嘅 IT 人員都唔會請一個專睇機械人嘅員工。再加上 RPA 都算係一個新科技,好多公司嘅技術人員都係第一次接觸,唔會太熟悉啲操作,更加容易睇漏眼比人 hack。

再加上,為咗提高效率,好多時 RPA 系統入面嘅賬號密碼都會 by default 用同一個。如果冇好好咁幫佢哋加密,Hacker 就可以輕輕鬆鬆 Takeover 整個 System,甚至利用 RPA 嘅權限去訪問特權賬號,從而去盜取公司最核心資產,危上加危!

RPA 除咗會引致新型系統漏洞之外,如果不幸落入不法之徒手上,仲會成為一樣極之大鑊嘅武器!DDoS 大家都聽過,係一種可以癱瘓一個系統嘅網絡攻擊手法。如果黑客使用 RPA 運行 DDoS 惡意攻擊,咁就可以同一時間對比平時更多嘅電腦同系統作出更大規模嘅 Shutdown,都唔好話唔得人驚。

Knisley 又指出,好多人都覺得新科技一定安全過以前。其實咁諗好危險,雖然 RPA 用機械代替員工係可以完全減低人爲錯誤,令人感覺更安全,但前提係要正確部署 RPA 安全設定。預防萬一,應該將 RPA 同其他 System 一視同仁,嚴謹測試後先採用。

資料來源:https://bit.ly/3jTJwHW

唔想錯過熱門網絡保安消息,請即訂閱 wepro180 電子周報:https://bit.ly/2ZcCi9J