新型態資安威脅情勢使得全球更多企業、組織與政府開始思考如何適當且有效地將零信任資安架構融入營運之中。趨勢科技分享以美國政府走在前端的網路資安實戰經驗為參考借鏡,說明如何建構務實彈性的零信任架構以落實資安政策,助台灣企業與政府組織在數位轉型過程中更妥善的掌握風險可視性,實踐資安治理縱深防禦。
三大阻礙:「無法持續投入」、「資金不足」、「忽視資安重要性」
在網路環境複雜且邊界不明的情況下,推動零信任(Zero Trust)資安架構在全球已是大勢所趨。台灣金管會去年底推動金融資安行動方案2.0,要求銀行逐步落實零信任;美國政府更率先全球發布行政命令,要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫,並鼓勵私人企業跟進。然而,在企業導入的過程中,經營團隊卻容易面臨無法持續投入、資金不足、甚至從根本上忽略了資安重要性的情況,使得相關部署陷入窒礙難行的困境。
擁有20多年的美國聯邦政府資歷的趨勢科技首席技術策略長David Chow,以自身曾作為住房及城市發展部(Housing and Urban Development, HUD)首席資訊長的經驗分享:「HUD過去最大的挑戰正是來自於此,除了因為技術不足導致資安視野侷限,再加上長期缺乏資金投入,也沒有相對應的安全評估和計劃,僅僅採用初階身分與存取管理(IAM)查核程序與相對分散的管理架構,讓部門面臨了龐大的技術負債(Technical debt),並且隨著時間累積產生越來越高的修正成本。」
以零信任模型為組織建構資安基礎
過去認為網路在被發現遭到入侵之前是安全的,然而以零信任為基礎的網路架構卻是基於「永不信任、持續驗證」原則,認為任何個體與身分在獲得信任、並持續維持信任之前,皆不可信。
零信任架構涵蓋從身分驗證、裝置、網路、應用程式與工作負載到資料等六大面向。以零信任架構作為網路安全基礎,首先必須強化組織整體資安意識,提高網路安全計劃的成熟度,並且在資源有限時進行集中化管理來提高效率。同時,也必須創建一套系統化以及可重複使用的流程來確認網路安全風險等級,確保從網路、工作負載、數據、用戶到端點的威脅可視性,並充分利用技術以減少錯誤發生,針對資安威脅部署一致性的回應策略,再按照數據與行為模式建構多層次即時防禦機制,不僅如此,也應提高技術部署的透明度和適當審查流程,並在DevSecOps流程中導入明確的安全規範作為依循準繩。
以「風險管理」取代「合規」思維
過去多數企業選擇規避風險,以營運為主要考量,對於先進技術採用相當緩慢,資安經營上以追求符合政府與法律規範為目標。然而,如今多數企業已經意識到資訊安全對於利潤、技術和威脅層面將帶來更深遠的影響,轉而積極佈建零信任架構,同時將資安防護與風險管控的概念內化為經營策略的一部分,採用能夠集中化可視性與風險回應的安全管理架構,達到降低成本亦提高組織競爭力的要求。
對此,David Chow表示:「建立成熟零信任架構的過程的確需要投入一定程度的資源,也可能改變公司組織結構,但長遠來看是相當重要且不容忽視的。企業必須定義出明確的目標,以風險驅動而非合規驅動的角度出發,才能打造出屬於自己、完整且持續進化的絕佳網路風險管理能力。」
針對平衡風險管理與有限運營資源,趨勢科技台灣區暨香港區總經理洪偉淦也表示:「企業面對日趨嚴峻的網路攻擊事件,普遍面臨資安示警轟炸以及人力不足的問題。在資安系統中整合延伸式偵測及回應架構(XDR),不僅幫助企業透過更全面、有效率的方式評估風險和威脅,更能獲得絕佳的資安風險可視性,在面臨風險時即時回應,進而達成零信任目標,在數位轉型的道路上行走的更加穩健。」