疫情肆虐全球,大幅改變人們的生活習慣,網路服務需求大幅提升,而企業也紛紛加快數位轉型的腳步,駭客可不會放過這絕佳的攻擊機會。

勤業眾信發布的《2021 年網路資安大調查》(2021 Future of cyber survey)指出,近七成受訪企業表示今年遭受的網路攻擊較往年有顯著增加之趨勢,11 月底時,台灣更是出現證期業者遭撞庫攻擊,駭客盜用投資人帳號下單,造成業者商譽與投資人權益受損,更顯示攻擊手法不斷精進,傳統防禦措施不再適用。

面對新的挑戰,信任不再

傳統資安防禦著重以防火牆為主的「縱深防禦」,意味著邊界內部是安全與可信任的,然而隨著遠距工作興起、員工自攜設備(Bring Your Own Device, BYOD)、系統移轉雲端環境等,使邊界漸漸模糊,當外牆倒塌時,內部的安全與信任亦全軍覆沒。

零信任架構則是假設網路總是存在內外部威脅,任何用戶端或設備都是不可信的,在「從不信任,始終驗證(Never Trust, Always Verify)」的核心概念下,不僅有效防堵未經授權的存取、拖延駭客入侵的時間,在現今複雜的IT環境中更是兼具彈性與擴展性,能不斷地面對新的技術與挑戰。

零信任發展受到政府高度重視

NIST(美國國家標準暨技術研究院,National Institute of Standards and Technology)在 2020 年推出 SP 800-207 零信任標準後,美國國防部(DoD)接著在 2021 年二月提出零信任參考架構(Zero Trust Architecture, ZTA),白宮更在五月發布行政命令要求聯邦政府機構遵循零信任架構,展現了政府對零信任的重視,也帶動企業採納零信任這套被視為目前最能抵禦網路威脅的架構。

Deloitte’s Zero Trust framework
Deloitte’s Zero Trust framework(點圖可放大)
圖片來源:

零信任架構簡介

勤業眾信彙整各大標準提出七個支柱的零信任架構,由用戶、工作負載、資料、網路、裝置作為企業資安的五個基本支柱,再由遙測與分析、自動化與編排 2 個支柱協助達到零信任架構的要求。

用戶(Users)

以證期業者遭攻擊的案例來看,動態身分驗證與授權、落實多因子驗證(MFA)、強化憑證認證能降低駭客試圖登入帳號的情形發生,讓使用者安全存取資源。

工作負載(Workloads)

隨著數位金融服務發展,API運用、跨平台資料串流等技術讓使用者更加方便,但資安風險也隨之而來。檢測任何應用程式或服務的安全性,並進行強化、分段、與監控,或利用 DevSecOps(編按:DevSecOps 為 Development、Security 和 Operations 的縮寫,旨在將安全性視為整個 IT 生命週期的共同責任。)保護與管理應用程式。

資料(Data)

根據趨勢科技 2021 年報告,勒索軟體竊取或外洩資料仍是最多數的攻擊手法,其中銀行業遭勒索攻擊數量更比同期暴增 1318%。為保護企業貴重的資料,利用零信任架構中加密、資料權限管理(DRM)、資料外洩防護(DLP)措施,使雲端或是地端的資料受到妥善保護。

網路(Networks)

APT 攻擊手法在入侵後,長期潛伏於內網,並擴展到不同區域,等待時機向有價值的目標下手,故檢測網路傳輸流量十分重要。透過網段區隔、微分段(Micro-Segmentation)等技術進行存取控制,強化與監控每一筆存取流量,防止特權濫用、資料外洩、橫向移動。

裝置(Devices)

僅用帳號密碼來判斷是否為使用者本人已經不再是安全的手段,任何連接到企業內網的設備(包含自攜設備)都應接受持續性的風險與威脅評估,確保組態安全、修補程式、弱點管理皆符合安全要求。

遙測與分析(Telemetry & Analytics)

為瞭解以上五個支柱性能、行為、組態基準,收集相關資料,並檢測可疑行為與事件關聯分析。例如平常準時上下班的帳號使用者在非上班時間頻繁登入系統操作,可能就屬於可疑行為,甚至是資安事件的前兆,利用遙測與分析提早發現端倪,為內外部威脅提供即時的安全告警。

自動化與編排(Automation & Orchestration)

將資料分析的結果,透過大規模的自動化策略部署、回應威脅,並進行弱點修補。異常事件發生的當下,快速恢復並預防相關事件延續。

零信任旅程

導入零信任架構是一個理想遠景的藍圖,不是光靠單一解決方案就能一蹴可幾。我們建議,導入零信任架構先從提高企業整體可視性著手,識別企業資訊資產與其風險,並藉由分析流量,逐步建立相關的動態策略,對每筆存取要求落實「從不信任,始終驗證」。

Illustrative Zero Trust adoption journey
Illustrative Zero Trust adoption journey(點圖可放大)
圖片來源:

作者介紹 |

陳威棋

勤業眾信風險諮詢服務部執行副總經理

擁有 15 年資訊安全、滲透測試、資安事件數位鑑識調查經驗,曾協助許多客戶進行資訊安全檢測服務並針對許多不同產業有豐富資安機制導入經驗,目前主要帶領資安技術團隊執行資安檢測(包含行動應用 APP、IOT、工控系統(ICS/SCADA))服務、零信任架構設計與導入、資安策略規劃、外部威脅情資管理、資安危機因應與應變調查及數位鑑識服務。

分享