議題觀點

信任金融服務? 先從零信任做起

勤業眾信風險諮詢服務 / 陳威棋執行副總經理

疫情肆虐全球,大幅改變人們的生活習慣,網路服務需求大幅提升,而企業也紛紛加快數位轉型的腳步,駭客可不會放過這絕佳的攻擊機會。勤業眾信發布的《2021年網路資安大調查》(2021 Future of cyber survey)1指出,近七成受訪企業表示今年遭受的網路攻擊較往年有顯著增加之趨勢,11月底時,台灣更是出現證期業者遭撞庫攻擊,駭客盜用投資人帳號下單,造成業者商譽與投資人權益受損,更顯示攻擊手法不斷精進,傳統防禦措施不再適用。

面對新的挑戰,信任不再

傳統資安防禦著重以防火牆為主的「縱深防禦」,意味著邊界內部是安全與可信任的,然而隨著遠距工作興起、員工自攜設備(Bring Your Own Device, BYOD)、系統移轉雲端環境等,使邊界漸漸模糊,當外牆倒塌時,內部的安全與信任亦全軍覆沒。

零信任架構則是假設網路總是存在內外部威脅,任何用戶端或設備都是不可信的,在「從不信任,始終驗證(Never Trust, Always Verify)」的核心概念下,不僅有效防堵未經授權的存取、拖延駭客入侵的時間,在現今複雜的IT環境中更是兼具彈性與擴展性,能不斷地面對新的技術與挑戰。

零信任發展受到政府高度重視

NIST(美國國家標準暨技術研究院,National Institute of Standards and Technology)在2020年推出SP 800-207零信任標準後,美國國防部(DoD)接著在2021年二月提出零信任參考架構(Zero Trust Architecture, ZTA),白宮更在五月發布行政命令要求聯邦政府機構遵循零信任架構,展現了政府對零信任的重視,也帶動企業採納零信任這套被視為目前最能抵禦網路威脅的架構。

零信任架構簡介

勤業眾信彙整各大標準提出七個支柱的零信任架構,由用戶、工作負載、資料、網路、裝置作為企業資安的五個基本支柱,再由遙測與分析、自動化與編排2個支柱協助達到零信任架構的要求。

 

  • 用戶 (Users)

以證期業者遭攻擊的案例來看,動態身分驗證與授權、落實多因子驗證(MFA)、強化憑證認證能降低駭客試圖登入帳號的情形發生,讓使用者安全存取資源。

  • 工作負載 (Workloads)

隨著數位金融服務發展,API運用、跨平台資料串流等技術讓使用者更加方便,但資安風險也隨之而來。檢測任何應用程式或服務的安全性,並進行強化、分段、與監控,或利用DevSecOps保護與管理應用程式。

  • 資料 (Data)

根據趨勢科技2021年報告[1],勒索軟體竊取或外洩資料仍是最多數的攻擊手法,其中銀行業遭勒索攻擊數量更比同期暴增1318%。為保護企業貴重的資料,利用零信任架構中加密、資料權限管理(DRM)、資料外洩防護(DLP)措施,使雲端或是地端的資料受到妥善保護。

  • 網路(Networks)

APT攻擊手法在入侵後,長期潛伏於內網,並擴展到不同區域,等待時機向有價值的目標下手,故檢測網路傳輸流量十分重要。透過網段區隔、微分段(Micro-Segmentation)等技術進行存取控制,強化與監控每一筆存取流量,防止特權濫用、資料外洩、橫向移動。

  • 裝置 (Devices)

僅用帳號密碼來判斷是否為使用者本人已經不再是安全的手段,任何連接到企業內網的設備(包含自攜設備)都應接受持續性的風險與威脅評估,確保組態安全、修補程式、弱點管理皆符合安全要求。

  • 遙測與分析 (Telemetry & Analytics)

為瞭解以上五個支柱性能、行為、組態基準,收集相關資料,並檢測可疑行為與事件關聯分析。例如平常準時上下班的帳號使用者在非上班時間頻繁登入系統操作,可能就屬於可疑行為,甚至是資安事件的前兆,利用遙測與分析提早發現端倪,為內外部威脅提供即時的安全告警。

  • 自動化與編排(Automation & Orchestration)

將資料分析的結果,透過大規模的自動化策略部署、回應威脅,並進行弱點修補。異常事件發生的當下,快速恢復並預防相關事件延續。

零信任旅程

導入零信任架構是一個理想遠景的藍圖,不是光靠單一解決方案就能一蹴可幾。我們建議,導入零信任架構先從提高企業整體可視性著手,識別企業資訊資產與其風險,並藉由分析流量,逐步建立相關的動態策略,對每筆存取要求落實「從不信任,始終驗證」。

 

 

[1] https://www2.deloitte.com/tw/tc/pages/about-deloitte/articles/pr20211118-ra.html 

[2] https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/attacks-from-all-angles-2021-midyear-security-roundup

是否找到您要的資訊?