信任金融服務? 先從零信任做起

疫情肆虐全球，大幅改變人們的生活習慣，網路服務需求大幅提升，而企業也紛紛加快數位轉型的腳步，駭客可不會放過這絕佳的攻擊機會。勤業眾信發布的《2021年網路資安大調查》（2021 Future of cyber survey）¹指出，近七成受訪企業表示今年遭受的網路攻擊較往年有顯著增加之趨勢，11月底時，台灣更是出現證期業者遭撞庫攻擊，駭客盜用投資人帳號下單，造成業者商譽與投資人權益受損，更顯示攻擊手法不斷精進，傳統防禦措施不再適用。

面對新的挑戰，信任不再

傳統資安防禦著重以防火牆為主的「縱深防禦」，意味著邊界內部是安全與可信任的，然而隨著遠距工作興起、員工自攜設備（Bring Your Own Device, BYOD）、系統移轉雲端環境等，使邊界漸漸模糊，當外牆倒塌時，內部的安全與信任亦全軍覆沒。

零信任架構則是假設網路總是存在內外部威脅，任何用戶端或設備都是不可信的，在「從不信任，始終驗證（Never Trust, Always Verify）」的核心概念下，不僅有效防堵未經授權的存取、拖延駭客入侵的時間，在現今複雜的IT環境中更是兼具彈性與擴展性，能不斷地面對新的技術與挑戰。

零信任發展受到政府高度重視

NIST（美國國家標準暨技術研究院，National Institute of Standards and Technology）在2020年推出SP 800-207零信任標準後，美國國防部（DoD）接著在2021年二月提出零信任參考架構（Zero Trust Architecture, ZTA），白宮更在五月發布行政命令要求聯邦政府機構遵循零信任架構，展現了政府對零信任的重視，也帶動企業採納零信任這套被視為目前最能抵禦網路威脅的架構。

零信任架構簡介

勤業眾信彙整各大標準提出七個支柱的零信任架構，由用戶、工作負載、資料、網路、裝置作為企業資安的五個基本支柱，再由遙測與分析、自動化與編排2個支柱協助達到零信任架構的要求。

• 用戶 （Users）

以證期業者遭攻擊的案例來看，動態身分驗證與授權、落實多因子驗證（MFA）、強化憑證認證能降低駭客試圖登入帳號的情形發生，讓使用者安全存取資源。

• 工作負載 （Workloads）

隨著數位金融服務發展，API運用、跨平台資料串流等技術讓使用者更加方便，但資安風險也隨之而來。檢測任何應用程式或服務的安全性，並進行強化、分段、與監控，或利用DevSecOps保護與管理應用程式。

• 資料 （Data）

根據趨勢科技2021年報告[1]，勒索軟體竊取或外洩資料仍是最多數的攻擊手法，其中銀行業遭勒索攻擊數量更比同期暴增1318%。為保護企業貴重的資料，利用零信任架構中加密、資料權限管理（DRM）、資料外洩防護（DLP）措施，使雲端或是地端的資料受到妥善保護。

• 網路（Networks）

APT攻擊手法在入侵後，長期潛伏於內網，並擴展到不同區域，等待時機向有價值的目標下手，故檢測網路傳輸流量十分重要。透過網段區隔、微分段（Micro-Segmentation）等技術進行存取控制，強化與監控每一筆存取流量，防止特權濫用、資料外洩、橫向移動。

• 裝置 （Devices）
  

僅用帳號密碼來判斷是否為使用者本人已經不再是安全的手段，任何連接到企業內網的設備（包含自攜設備）都應接受持續性的風險與威脅評估，確保組態安全、修補程式、弱點管理皆符合安全要求。

• 遙測與分析 （Telemetry & Analytics）

為瞭解以上五個支柱性能、行為、組態基準，收集相關資料，並檢測可疑行為與事件關聯分析。例如平常準時上下班的帳號使用者在非上班時間頻繁登入系統操作，可能就屬於可疑行為，甚至是資安事件的前兆，利用遙測與分析提早發現端倪，為內外部威脅提供即時的安全告警。

• 自動化與編排（Automation & Orchestration）

將資料分析的結果，透過大規模的自動化策略部署、回應威脅，並進行弱點修補。異常事件發生的當下，快速恢復並預防相關事件延續。

零信任旅程

導入零信任架構是一個理想遠景的藍圖，不是光靠單一解決方案就能一蹴可幾。我們建議，導入零信任架構先從提高企業整體可視性著手，識別企業資訊資產與其風險，並藉由分析流量，逐步建立相關的動態策略，對每筆存取要求落實「從不信任，始終驗證」。

_{[1] https://www2.deloitte.com/tw/tc/pages/about-deloitte/articles/pr20211118-ra.html}

_{[2] https://www.trendmicro.com/vinfo/us/security/research-and-analysis/threat-reports/roundup/attacks-from-all-angles-2021-midyear-security-roundup}