台灣金管會推動金融資安行動方案2.0,要求銀行逐步落零信任(Zero Trust)資安架構,美國政府更率先全球先行,發布行政命令,要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫,趨勢科技指出,在企業導入的過程中,經營團隊很容易面臨無法持續投入、資金不足、忽略資安重要性三大阻礙,因為資安架構改變,應以「風險管理」取代「合規」思維,為現代化企業舉足輕重的經營策略。
擁有20多年的美國聯邦政府資歷的趨勢科技首席技術策略長David Chow,以自身曾作為住房及城市發展部(HUD)首席資訊長的經驗分享,除了因為技術不足導致資安視野侷限,再加上長期缺乏資金投入,也沒有相對應的安全評估和計劃,僅僅採用初階身分與存取管理(IAM)查核程序與相對分散的管理架構,讓部門面臨了龐大的技術負債(Technical debt),並且隨著時間累積產生越來越高的修正成本。
過去認為網路在被發現遭到入侵之前是安全的,然而以零信任為基礎的網路架構卻是基於「永不信任、持續驗證」原則,認為任何個體與身分在獲得信任、並持續維持信任之前,皆不可信。
零信任架構涵蓋從身分驗證、裝置、網路、應用程式與工作負載到資料等六大面向。以零信任架構作為網路安全基礎,首先必須強化組織整體資安意識,提高網路安全計劃的成熟度,並且在資源有限時進行集中化管理來提高效率。
David Chow表示,建立成熟零信任架構的過程的確需要投入一定程度的資源,也可能改變公司組織結構,但長遠來看是相當重要且不容忽視的。企業必須定義出明確的目標,以風險驅動而非合規驅動的角度出發,才能打造出屬於自己、完整且持續進化的絕佳網路風險管理能力。
針對平衡風險管理與有限運營資源,趨勢科技台灣區暨香港區總經理洪偉淦說明,在資安系統中整合延伸式偵測及回應架構(XDR),不僅幫助企業透過更全面、有效率的方式評估風險和威脅,更能獲得絕佳的資安風險可視性,在面臨風險時即時回應,進而達成零信任目標,在數位轉型的道路上行走的更加穩健。
