確保資安 企業需要「看不見」防護罩

「零信任」時代來臨！

現今企業網路不再有明確防禦邊界，為確保資安，企業需要全面性策略，才能隨時隨地安全的存取自家公司資料。因此，零信任的安全模式與規劃，成為企業資安防護的新思維。

現今社會中，資安威脅與全球資通安全事件層出不窮。企業面臨隱私或敏感資料外洩、網路攻擊等挑戰，需要新的安全模式——透過多層次的驗證和授權機制，保障資訊安全，也就是「零信任」（Zero Trust）的概念。

由台灣金融研訓院主辦的零信任安全模型：重塑企業網絡安全的未來論壇，特別邀請Sail Point亞太地區資安解決方案顧問薩瓦里諾（Gary Savarino）、Palo Alto Networks SASE首席架構師智勇（Ethan Zhi），以及數位發展部數位政府司司長王誠明，探討零信任的安全模型如何協助企業因應資安挑戰，以及企業如何應用「個人化資料自主運用（MyData）平台」，串聯並運用既有資料，打造精準化個人服務，亦保障資安及個人隱私權益。

身分驗證為零信任核心

早在2012年，美國聯邦調查局局長穆勒（Robert Mueller）曾說：「世界上只有兩種公司：已經被駭客攻擊的公司和將要被駭客攻擊的公司。」

然而，近來駭客攻擊事件不時發生，「這句話應改為『世界上只有兩種公司：已經被駭客攻擊的公司和不知道自己被駭客攻擊的公司。』」薩瓦里諾直言，疫情爆發後，許多企業的員工在家工作，越來越多的行動辦公室及員工，讓傳統的城堡式資安防護方式出現了資安漏洞。

薩瓦里諾提醒，駭客不是駭進組織，而是直接登入。他們透過社交工具，在組織假冒他人身分，獲得進入組織的權限，即使是低階帳號，但仍可橫向移動，獲得資料存取權。

傳統的防火牆是以「網路邊界」為主，將防火牆作為防禦重心的安全概念，只要順利進入防火牆，系統即判定為「好人」，資料隨手即得。但現今企業網路不再有明確的防禦邊界，為確保資安，企業需要全面性策略，才能隨時隨地安全地存取自家公司資料。因此，零信任的安全模式與規劃，成為企業資安防護的新思維。

美國弗雷斯特研究機構（Forrester Research）分析師金德維格（John Kindervag）於2010年首次提出零信任安全模型。零信任的運作是假設任何請求都不可信，當請求存取資料時，就要驗明真身（Never trust, always verify），包括事前的身分鑑別、存取當下的身分認證，都必須嚴格執行。

薩瓦里諾表示，身分驗證是零信任的核心。然而，根據國際身分定義安全聯盟（Identity Defined Security Alliance, IDSA）於2022年發布的研究報告顯示，84％的組織都遭遇身分外洩相關事件。

原因包括：身分驗證流程不夠靈敏，目前仍以紙本人工作業為主；當職務變動時，存取權限也會調整，需要由服務台協助重設密碼，但密碼可能外洩；員工離職，只能手動終止使用權限，但不保證可移除存取權限，通常還必須配合其他應用程式來停用。這些傳統作法不但繁瑣耗時、效率不彰，還可能帶來風險。

確保零信任戰略可執行

「駭客鎖定的產業攻擊目標，都是跟著金流走。」智勇表示，根據一項調查，2022年受影響的產業中，金融、專業和法律服務、製造、醫療保健、高科技，以及批發和零售業，占所有案例的60％以上。其中又以金融服務業為駭客的首要目標，因數據洩漏的平均損失成本為597萬美元。

攻擊類型以利用網路（Web）漏洞為主，包括基本Web應用程式攻擊、各種類型的設置錯誤和系統入侵是主要原因。攻擊來源中，外網占66％、內網占34％，顯見內部零信任架構部署也很重要。

此外，企業採用雲的技術或機器學習，以及混合應用交付模式和混合工作模式，雖能提升效率，但也會帶來新的資安挑戰。智勇指出，弗雷斯特研究調查顯示，92％的高層主管表示他們的公司在過去12個月遭受到網路攻擊。平均每個企業部署76個不同的安全系統，用於阻斷新的威脅，此數字比2年前增加19％，且有持續增加的趨勢。

「傳統單點的解決方案無法應對新的趨勢和安全挑戰，零信任是數位化轉型中重建安全體系的機會。」智勇直言，金融業者必須訂定零信任戰略，才能確保金融資安。

嚴控三大基本原則

零信任有3個基本原則，一是最小權限（Least Privilege）原則，盡可能減少企業暴露在外的資料；二是顯示的信任（Explicit Trust），企業必須先定義相應的安全策略，拒絕隱含性的信任；三是保護每一個數位互動的過程（Secure Each Digital Interaction），進行內容識別，阻斷潛在與惡意的威脅。

智勇指出，用戶的身分驗證、應用和設備完整性驗證、最小權限訪問、會話安全檢測，為確保零信任戰略可執行的關鍵因素。具體作法包含透過高強度的身分驗證驗證用戶、驗證用戶安全訪問工作負載和基礎設施、確保整個應用程式生命週期的完整性和安全、確保基礎設施的安全完整性和可用性，對用戶、工作負載和基礎設施之間的訪問實施最小權限原則，掃描所有應用程式中的所有內容是否存在威脅、惡性活動和數據洩漏，驗證端點的安全態勢是否能滿足零信任的要求。以用戶的零信任為例，將不再以IP為主，而是改為用戶的ID，依據用戶ID來允許可存取的內容。

金融服務串接MyData平台

資料治理可加速數位轉型，促使政府與企業提供更便民的服務。數位部建置MyData平台，讓民眾可自主依照自身需求，透過線上授權同意的方式，將個人化資料即時授權予第三方單位作為特定產品服務運用，節省翻找個人資料的時間。

王誠明以金管會與數位部共同推動串聯MyData與金融服務為例，民眾只要在MyData平台完成認證與授權，於申辦金融服務過程中，即可在民眾即時授權下，藉由MyData平台提供保存於政府機關的個人資料如戶籍、財產、所得、勞健保投保等轉介給銀行，線上申辦信用卡或貸款、開立數位帳戶等，不僅提升申辦的便利性，又能快速獲得金融服務。

目前，金管會轄管金融機構，包含21家銀行、2家證券公司、1家保險公司均已介接該平台，提供更多元的金融服務。MyData平台的個人資料來自內政部、財政部、勞動部、衛福部等政府機構，涵蓋戶役政、勞保、地政、健保、財稅、醫療、社福、商工、金融、交通、教育、法務等資料。

王誠明表示，以往民眾申辦信用卡、貸款，或是辦理保險理賠，必須先申請紙本證明文件交付銀行或壽險公司，整個流程耗時至少2天。但透過MyData平台取得個人資料證明文件，只需要15分鐘即可申辦完成，銀行審核證明文件時，不用擔心有人假造的情況，既快速又便利。

然而，台灣持續受到海外網路攻擊，民眾個資有外洩之虞，特別是存取控制安全面臨極大威脅。針對二級和三級事件與日俱增，「關鍵在於使用者密碼強度太弱、網站漏洞未修補、網站設計不佳。」王誠明解釋說，傳統網路架構是先建置分層網路，再增加安全控制，但現今許多直接或間接攻擊都是來自信任邊界內，當網路環境越來越複雜，資安防護變得越來越困難。

2023年2月，蔡英文總統曾指出，預計2023年底前，全面在T-Road系統（加密傳輸通道）中，導入零信任架構（ZTA），也預計在兩年內，優先輔導擁有大量人民個資的A級機關，繼續再輔導B級機關和其他縣市陸續導入。

王誠明說，數位部將主動協助公部門A級機關導入ZTA，2023年先推動身分驗證，之後再做設備驗證。另也建議銀行、證券業等透過ZTA來加強資料傳輸與取用的安全防護。T-Road和ZTA可增強資料傳輸和取用的識別與保護，再結合其他網路安全保護機制，將有助於建立更優質的資安韌性防護體系。

重塑企業網路安全未來

Sail Point身分治理資深顧問曾心天表示，各國對零信任的定義和導入時程不一，「我們專注於授權方面的管理，包括身分驗證、設備鑑別、信任推斷等。」因此，Sail Point持續協助企業建立可被監控的授權，例如從身分管理來授權一張識別證可進入公司網路的區域範圍，以及在特定區域中可存取的資源。

微智安聯總經理蔡一郎指出，零信任是一種框架，導入後才會進入維運、管理、驗證及稽核等流程。根據他輔導的經驗，金融業者的驗證過程需要再加強。例如壽險公會成立的「保險存摺」平台，可提供查詢個人所有人身保險投保狀況，以及線上理賠申請等服務。但公用式平台如何做到零信任驗證、承保公司如何驗證是當事人提出申請、如何傳送電子病歷給承保公司，這些都牽涉到數位資料需要被檢核與稽核。

超智諮詢創辦人陳弘益強調，零信任不只是關係，更是網路安全議題。目前，政府積極推動零信任架構等相關政策執行，金融業在未來3至5年也應提前準備，才能重塑企業網路安全的未來。