了解机器人过程自动化的风险

了解机器人过程自动化的风险
作者: 拉里·G. Wlosinski, CISA, CISM, CRISC, CDPSE, CISSP, CCSP, CAP, PMP, CBCP, CIPM, CDP, ITIL v3
发表日期: 2023年5月17日
相关: RPA正在发展,但风险仍然存在

我写一篇关于机器人过程自动化(RPA)的文章的动机来自于我为客户做的一次信息安全评估. 当我检查这个系统(从供应商那里获得的)时,我发现它具有恶意僵尸网络命令和控制工具的功能, 但它是在内部使用,以确保软件脚本持续运行.

我认为自己是一名白帽战士, 但我意识到这个产品出自一位进步的思想家之手,他既可以向商业澳门赌场官方下载推销,也可以向黑客推销. 为此目的, 这种RPA产品的发起者/开发者可以被贴上灰色帽子的标签,因为他们可以向好的澳门赌场官方下载和坏的/犯罪的澳门赌场官方下载推销软件产品.

我对澳门赌场官方下载使用的RPA产品的关注是,它们包含在管理员级别运行的软件脚本,并且可以访问许多部分(例如:RPA).e.组织的IT基础设施(组件和系统). 如果恶意脚本被插入RPA并欺骗性地标记, 它们可能会在很长一段时间内影响组织(甚至个人隐私). 这些脚本可以用来提取、修改和删除数据,植入恶意软件(如.e., 在客户不知情的情况下,在许多类型的设备上安装机器人, 并通过删除其活动/轨迹来影响系统日志文件. 他们甚至可以删除、破坏和加密备份文件. RPA产品可能包含隐藏或伪装的恶意软件,可能被标记为模板或示例. 

为了防止这些事件, 在将系统实现到生产环境之前,检查供应商提供的脚本并在包含的环境中测试系统是非常重要的. 此外,应该定期对新旧脚本进行深入的审计. 定期验证备份是另一种可以防止勒索软件事件等灾难的做法.

RPA用于包括金融环境在内的无数业务应用程序中, 零售业务, 和其他许多公用事业澳门赌场官方下载共同使用. 了解这些好处是有帮助的, 功能, 特性, 问题区域, 以及与RPA产品相关的风险, 以及防御措施和保障措施,

编者按: 想要进一步了解这个话题,请阅读Larry Wlosinski最近在《澳门赌场官方软件》上发表的文章, “RPA正在发展,但风险仍然存在,” , ISACA杂志,第2卷2023.

ISACA杂志