零信任成資安防禦主流 保護及加值企業數位資產
臺科領航創新 實現未來|Ubiquitous Cyber Security,歡迎至活動網頁收看。DIGITIMES攝
在龐大經濟利益的引誘下,駭客組織於疫情期間依然持續且擴大攻擊力道,根據 Check Point最新的網路安全報告指出,2021年企業每週遭受網路攻擊數量,較2020年增加50%以上。綜觀現今企業面臨資訊安全挑戰,大致上可分成三大類,首先是有人專門針對特定企業或組織去進行攻擊,其次是遠距辦公、行動辦公等帶來的存取形式改變,導致惡意程式攻擊範圍擴大。最後,則是出現大量非獲利目的駭客攻擊事件,如收集政治人物的個資、癱瘓關鍵基礎設施等。
疫情不僅加速企業數位轉型,亦改變人們生活及工作型態,以混和型工作模式為例,多數員工家中多半欠缺嚴格的實體安全防禦機制,因此駭客大舉針對居家工作者發動釣魚郵件攻擊,藉此作為入侵企業內部的跳板。若企業沒有合宜防護機制防範此種攻擊手法,最終將會使企業機密資料遭竊,並遭勒索軟體入侵的憾事。
國立臺灣科技大學資通安全研究與教學中心主任查士朝說,遠距辦公、行動辦公等已成為後疫情時代的日常,企業需重新思考資安防護機制,零信任架構被認為是能因應日益多變攻擊手法的最佳對策。此機制採用統一身分識別、網路傳輸加密、依照資料重要性進行分類與保護等作法,可降低被駭客入侵的機率,減少大量資料被竊取的狀況。
零信任架構對所有網路存取要求,均會採用最嚴格的審查機制,有助於挖掘潛藏其中的惡意威脅,也吸引許多企業、政府等紛紛導入。2022年1月美國預算與管理辦公室即發布備忘錄,要求在 2024 年底前,政府機構需在身分鑑別、裝置、網路、應用程式、資料等面向,均須符合零信任目標。美國聯邦政府推動的零信任策略,在身分識別方面,員工必須使用企業通用的去身分識別工具,避免個人遭受複雜的線上攻擊,如建立單一登入機制、使用多因鑑別、採用強密碼政策,並檢查是否有已知資料外洩情況等目標。
在引進零信任架構之外,企業資安治理也是重要的一環。資安是每個人的責任,若能提升整體資安意識,可有效降低惡意威脅入侵的機率。資訊安全專責單位是要協助每個人能盡到責任,才能讓資安防禦機制發揮預定效果。查士朝解釋,在全球資安人才不足的狀況下,企業不易聘請足夠專業人才,除要從公司內部培育著手之外,也應該要避免資安疲勞、創造工作價值,才能留住現有的資安團隊,保護企業的數位資產。
臺科大管理學院院長暨資管系教授羅乃維指出,企業推動資安治理時,應該涵蓋建立資安制度、定期風險評估、適當資安投資、安全企業環境等四大面向,才能讓整體資安防護更為健全。企業界對資安人才強烈需求,因此臺科大從三大面向投入資安人才培育工作,分別是資安長推廣教育學分班(預計9月開課)、資訊安全在職碩士班(籌設中)、資訊管理系碩士班資訊安全組 / 資訊安全學士學程(籌設中)等,為民間、政府等培育各種資安人才。
臺科大設有資通安全研究與教學中心,研究主題涵蓋以人工智慧與資料科學為導向之智慧資安分析、防禦與鑑識技術、智慧生活與新興應用等資安技術,透過跨域整合,將研究成果分享給產業和學界。
面對全球商業環境快速變化,臺科大與DIGITIMES聯合推出2022「臺科領航創新 實現未來」系列節目,涵蓋綠色能源、資訊安全、智慧移動、AIoT以及企業永續五大主題,業界想要瞭解國際市場動向,持續追求前瞻技術提升,以及培育相關人才,歡迎至活動網站報名觀看節目。
本次報導為與 DIGITIMES 合作:
https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=140&id=0000639175_6O40UR628P4EMP4GP7TWD#