撰稿:Alrin,日期:2022-11-25
自網路出現後的 25 年來,防火牆一直扮演著企業網路資安的第一道防線。
隨著新技術的發展,讓人們的生活變得更方便,但也為企業帶來了新的資安風險。15 年前的人只使用公司電腦來存取系統、郵件、共享資源。而現今的世界人手一支智慧型手機、平板,單純的僅靠著公司電腦設備來工作的人,也越來越少了。
現今許多人會使用自己的手機、平板來連上公司內部的服務系統,而大多數的公司會用員工的帳密來控管員工在企業內部的存取權限,不過許多的認證都是綁在同一個認證協議裡,雖然這樣的用法比較便利,不過一個認證能用全部資源的作法已經有點危險了。
例如,使用微軟的網域帳號控管,並賦予使用者的網路資源,城邦內部就是這種過時的資安架構。
不僅是科技會進步,駭客的攻擊也會進化,防火牆已無法保證能百分之百有效的過濾或阻擋因行動裝置、應用程式及郵件造成的內部網路漏洞,而部分後門程式也能協助攻擊者繞過防火牆的過濾機制。
於是零信任架構(Zero Trust)的概念便逐漸成為新世代的資安關鍵。
在過去十年左右的時間裡,許多企業被迫數位化。有大半的公司選擇擁抱雲端架構、支援更多的遠距上班模式,並且在轉型的過程中導入了各種服務型態(as-a-service)的解決方案。為此,企業中的資安團隊也跟著擴大了網路防護的規模,而且通常會將網路細分成多個較小的區域來提升安全。
但不幸的是,這樣的策略反而為駭客製造了更多機會。當駭客取得了使用者的登入資訊時,他們就能在網路內部四處遊走,並且一邊散播勒索病毒、一邊取得更高的系統權限。
企業後續紛紛導入「多重認證」,雖然此舉可提升登入憑證的安全性,但也只不過是增加了一道額外的認證。駭客一旦登入,就能持續對系統進行存取,除非他們自己登出,或者系統將他們登出。(城邦內部連多重認證也沒有)
各種新的工作方式,包括:使用個人自備裝置(BYOD)、遠距上班、雲端架構等等,都會帶來新的資安漏洞。但即使擁有更新、更強的網路資安防護,能夠提升企業網路邊界的可視性,但過了邊界之外就無法掌握。
數位部長唐鳳於 2022 年台灣資安大會表示,政府應透過吸納人才與公私部門合作等方式,強化網路建設的韌性,更關注「零信任」架構技術。杜蒲數位安全企業執行長蔡松廷提醒,在網路發現 8 百萬歐元規模的國家級數位武器,常受資安攻擊的台灣不可不慎。
唐鳳認為「零信任架構」的理念為,無論使用者在網域的內外,組織都不應自動信任任何人,試圖連接至組織系統的人均須先經驗證,才能取得存取權。
反觀傳統以邊界為基礎的資安架構則認為,一旦連線通過了認證就值得信任,因此可存取整個網路,反而成為網路犯罪集團的目標。
微軟傳出正在針對一起勒索軟體攻擊事故進行調查,原因是駭客很可能利用了尚未公開的 Exchange 漏洞入侵;針對今年年初發布的半導體產線設備資安標準,SEMI Taiwan 近期提供了導入指南。