台灣資安大會 CYBERSEC 2023 將從 5 月 9 日起一連三天登場,趨勢科技首席技術策略長 David Chow 以美國政府走在前端的網路資安實戰經驗為參考借鏡,說明如何建構務實彈性的零信任架構以落實資安政策,並警示企業推動零信任(Zero Trust)資安的三大阻礙。
David Chow 表示,零信任資安架構在全球已是大勢所趨,台灣金管會 2022 年底推動金融資安行動方案 2.0,要求銀行逐步落實零信任,但是企業導入的過程中,經營團隊容易面臨無法持續投入、資金不足,甚至從根本忽略資安重要性的情況,成為企業推動資安的三大阻礙。
David Chow 以自身曾作為住房及城市發展部(HUD)首席資訊長的經驗分享,HUD 過去因為技術不足導致資安視野侷限,再加上長期缺乏資金投入,沒有相對應的安全評估和計劃,僅僅採用初階身分與存取管理(IAM)查核程序與相對分散的管理架構,使部門面臨龐大的技術負債。
David Chow 指出,過去認為網路在被發現遭到入侵之前仍安全,然而以零信任為基礎的網路架構卻是基於「永不信任、持續驗證」原則,認為任何個體與身分在獲得信任,並持續維持信任之前,皆不可信。
David Chow 說明,零信任資安架構涵蓋從身分驗證、裝置、網路、應用程式與工作負載到資料等六大面向,以零信任架構作為網路安全基礎,首先必須強化組織整體資安意識,提高網路安全計劃的成熟度,並在資源有限時進行集中化管理來提高效率。
David Chow 補充,零信任資安架構必須創建一套系統化,以及可重複使用的流程來確認網路安全風險等級,確保從網路、工作負載、數據、用戶到端點的威脅可視性,並充分利用技術以減少錯誤發生,針對資安威脅部署一致性的回應策略,再按照數據與行為模式建構多層次即時防禦機制。
針對哪些產業需要導入零信任資安架構,David Chow 指出,舉凡像是需要風險管理的產業,尤其是管理民眾資料,因為隱私最需要受到保護,像是金融業、醫療健康業,這些都需要零信任的資安架構,甚至是關鍵基礎設施,因為這個出問題可能會影響全民生活。
過去多數企業選擇規避風險,以營運為主要考量,如今多數企業已意識到資訊安全對於利潤、技術和威脅層面將帶來更深遠的影響,轉而積極佈建零信任架構,同時將資安防護與風險管控的概念內化為經營策略的一部分,採用能夠集中化可視性與風險回應的安全管理架構。
對此,David Chow 表示,建立成熟零信任架構的過程的確需要投入一定程度的資源,並有可能改變公司組織結構,但長遠來看相當重要,企業必須定義出明確的目標,以風險驅動而非合規驅動的角度出發,才能打造出屬於自己、完整且持續進化的絕佳網路風險管理能力。
趨勢科技台灣區暨香港區總經理洪偉淦表示,企業面對日趨嚴峻的網路攻擊事件,普遍面臨資安示警轟炸及人力不足的問題,而在資安系統中整合延伸式偵測及回應架構(XDR),可幫助企業透過更全面、有效率的方式評估風險和威脅,更能獲得絕佳的資安風險可視性,進而達成零信任目標。
(首圖來源:科技新報)
科技新報粉絲團
加入好友
訂閱免費電子報
