机器人流程自动化（RPA）有望明显提高企业优势，包括更高的效率及准确性以及大幅度节省成本。 然而容易被人们忽略的是，如果未正确保护及管理 RPA 软件机器人及管理 者使用的特权帐户认证或密码，RPA 部署可能会引发重大 IT 资安风险。
 

RPA普及的推动因素(利用软件机器人自动完成手动任务)

各行各业的企业纷纷投资部署 RPA，以期自动完成日常业务展开过程中常见 的耗时重复性人工操作。
 

RPA 部署中被忽略的资安风险

不管贵公司有多注重安全性，在匆忙部署RPA等新技术的过程中，都很容易忽略IT安全性。鉴于采用 RPA 而得的优势非常明显，各业务部门希望尽可能快速地实施RPA计划也就不足为怪了。但是，如果贵公司的业务使用者不是经常实施提交IT项目，他们可能不会了解所有资安影响。

如同任何其它新技术，如果解决方案中不考虑安全性，RPA也可能会成为新的攻击机会。RPA软件直接与贵公司的业务系统及应用程序互动；在机器人自动执行及执行常规业务流程时，这可能会引发重大风险。尽管机器人不需要管理者权限来完成任务，但需要特权来登入ERP、CRM及其它业务系统，以存取、复制或贴上信息；或在一个流程内不同步骤之间转移数据。

• 机器人通常如何获取特权凭证或密码？
  默认方法是将特权凭证或密码直接写死到机器人执行的脚本或规则式的流程中；这也是在透过桌面快速建立RPA解决方案的一个常见隐患。随着RPA的逐渐普及，脚本中写死或存放在不安全位置上的特权帐户认证或密码数量也相应增加，因此大幅增加针对特权帐户认证或密码的攻击风险。

• 有哪些风险？
  使用上述方法时，高权限（特权）账号使用的凭证或密码最终会被共享并重复使用。对于人类使用的凭证或密码，企业政策通常要求定期进行修改；而机器人使用的凭证或密码则不同，一直不变且不受管理，因此会带来一系列风险：
  • 攻击者能够读取并搜寻脚本，最终获取写死的凭证或密码
  • 拥有管理者特权的使用者可以检索保存在不安全的位置上的凭证或密码随着 RPA 解决方案不断扩展，包含越来越多的机器人，风险也迅速增加。因此，企业需要考虑将机器人作为数字实体，并实施包含这些数字实体的身份及存取管理（IAM）策略。

 

3种特权凭证或密码保护方法

• 安全地保存及管理特权凭证或密码
  为防止特权凭证或密码落入不当人手中，您需要从脚本及其它不安全的位置上删除这些凭证或密码，并使用具有以下特征的系统来保存凭证或密码：
  • 对凭证或密码进行加密
  • 将凭证或密码保存在安全位置上
  • 在提供凭证或密码之前对各机器人进行身份验证
  • 根据公司政策自动或依实际需求进行定期更换
  • 避免此过程中的人为干预
  • 可以扩充以适应 RPA 使用量的快速成长
• 限制机器人的应用程序存取
  如果出现最坏情况，攻击者获取 RPA 平台中使用的特权凭证或密码，您可以限制这些凭证或密码可存取的应用程序数量来最大幅度降低攻击影响。 一种最佳做法是为机器人分配最小特权，仅允许机器人存取完成任务所需的具体应用程序，防止机器人执行其它应用程序，特别是当机器人在 PC 上需要本机管理者权限来使用某应用程序时更应如此。这样，您就可以防止攻击者在同一个客户端上使用多种应用程序，获取本机管理者权限而在 PC 上安装间谍或其它恶意软件。
• 监控管理者干预情况
  即使是执行最流畅的RPA程序，有时也需要RPA管理者干预。为了保护管理者凭证或密码并消除管理者干预相关的风险，您应该实施具有以下特征的安全基础架构：
  • 使用加密、安全储存及自动更换机器人凭证或密码相的同方式来保护管理者凭证或密码
  • 允许隔离及监控管理者活动，使资安团队可以实时查看特权联机，暂停或终止可疑联机；确保已保全稽核记录以追查责任

结语：
对许多企业来说，RPA是提高执行批次例行任务的效率、生产率，帮助贵公司员工集中精力于可增加经济效益的更高价值活动的公认途径。不管贵公司处于RPA导入过程中的哪个阶段，刚开始试执行或准备好进行大规模部署，您都希望确保RPA平台不会使贵公司承受网络攻击及威胁风险。

有效保护软件机器人及RPA管理者使用的特权凭证或密码，是保护贵公司关键资产。您还应该考虑限制机器人可以存取的应用程序范围；确保可以隔离及监控RPA管理者干预，暂停管理者的干预（必要时）并保存这些干预的全面稽核记录。利用CyberArk解决方案保护RPA特权存取CyberArk可以帮助您解决保护RPA平台中使用的特权凭证或密码的挑战。我们融合了特权存取安全（PAS）领域的广泛专业技术及知识，对 RPA 愿景的全面了解，及用于实现这一愿景的技术。

若有任何想进一步了解之处，本公司业务与技术服务团队，欢迎您随时与我们联系。