數位與智慧科技加速迭代,傳統資安防護架構已無力因應層出不窮的攻擊。當零信任成為全球共同的關鍵戰略,企業在導入零信任架構時依然挑戰重重。來毅數位與商業周刊特別舉辦《零信任:打造企業資安韌性新未來》高峰會,邀請產官學專家共同探討零信任從策略到落地的成功心法。
「效益與風險永遠並存,在導入數位化、AI科技創新應用的同時,同樣要在資安上守住相關的威脅和風險。」數位發展部資通安全署署長蔡福隆在致詞中表示,隨著零信任成為國際的新共識,台灣政府機關也自112年起推動A級機關逐步導入零信任架構,而數發部也委請資安院進行相關零信任產品的驗證工作,將符合相關規定的產品推薦給各機關及企業使用。
在中央規範前,就領先從多因素認證開始導入零信任架構的臺中市政府數位發展局局長林谷隆也指出:「有很多傳統產業雖然有心強化資安,卻又有『資安所費不貲』的刻板印象,其實不盡然。」他建議企業可以參考數發部在嚴謹測試後公布的白名單,「這些名單就是大家可以信賴的廠商,此外很重要的是參考其實際績效。」
通過資安院身分鑑別驗證,Keypasco分享零信任關鍵洞察
來毅數位在2022 年就以「Keypasco 多因素身分認證解決方案」通過了資安院訂定的零信任網路身分鑑別功能驗證,成功導入中央政府機關,在對資安高度規範的金融業市佔率更超過4成。來毅數位資安長蔡一郎分析,當前駭客文化盛行,目前有超過52%漏洞來自於『敲門磚』,也就是初始連線,「你的門戶、你的數位邊界沒有鎖好,就有很大的機會就會讓攻擊者滲透進來。」同時,惡意程式快速的發展,平均每秒有11隻新的樣本誕生,傳統的特徵比對已經不適用,現在必須用新一代的行為比對的方法來提供預警。
從Keypasco關注風險預測的專業出發,蔡一郎也分享了達到預警防護的四大面向:包括身分與存取管理、設備與端點防禦、網路異常偵測與區隔及應用服務授權,透過嚴謹的身分驗證先定錨使用者之後,並綁定被信任的裝置後,才能夠提供對應的權限。
來毅數位技術長張嘉顯也指出,很多資安風險來自於「人」,包含憑證的濫用、社交攻擊的演進以及人為錯誤,導致企業的風險與損失。解決的方式不外乎透過整體身分驗證機制來進行控制。「很多企業關心零信任能不能落地,答案是完全可以的。」張嘉顯表示,以來毅數位與台灣一家本土銀行的合作為例,從身分識別到設備識別一次做足,並結合AI技術偵測、收集設備健康資訊,判別風險係數來進行信任推斷,最終走向化被動為主動的「持續驗證」,主動偵測使用者是否需要被驗證。「很多企業感到在導入零信任時阻礙重重,其實更好的心態是將其視為企業資安生態系的延伸,最終將能帶來的更方便、更容易管理的機制。」
掌握AI時代的機會、克服風險,用「零信任」打通創新的最後一哩路
AI科技為產業提供更多創新契機,結合身分驗證技術,更能將過去不可能的變成可能。例如柏瑞醫推出的medKEY運用AI科技提供「問診記錄智慧生成」服務,結合Keypasco的身分驗證技術,確保只有具備證照資格的醫療專業人員能夠操作可攜式醫療器材,同時控管診療紀錄。當安全問題得以保障後,在宅醫療、偏鄉醫療在得以無後顧之憂地實現,醫護人員也能在AI技術的協助下大幅減少花在資料整理、記錄等繁冗工作上的時間。柏瑞醫行銷長林銘祥認為:「身分驗證這件事情,我認為以後在醫療的應用一定更多的發展,為醫療人力缺乏的年代提升醫療人才資源的利用。
NTT DATA大中華區雲計算事業群總經理林哲瑩也強調:「所有創新的服務,其實都會跟你的資安相關。」他在與企業討論數位轉型的過程中,發現企業主最在乎的是財務數據的正確性與營運流程的自動化,然而自動化的關鍵步驟仍要由人來進行,因此身分認證變得至關重要。然而身分認證愈趨嚴謹,卻又可能會影響到使用者體驗,光是密碼的定期重置就讓許多人感到困擾。
除此之外,在企業積極導入AI的趨勢下,也帶來了新的資安風險。來毅數位董事長林政毅指出,企業每月處理的資料量平均大幅增加,人員認證的需求與風險也隨之提升,而在駭客也使用AI的情況下,密碼被破解的效率越來越快。此外,生成式AI、深偽等技術也帶來與日俱增且難辨真假的偽冒風險。為了協助打造AI時代下的身分認證解決方案,來毅數位和NTT DATA合作研發,提供不用記帳密、依舊能夠合規的選項,用手機的生物辨識技術就能登入營運系統,幫助企業在導入自動化的同時不影響使用者體驗。
「這樣的整合只是一個起點,因為企業內部有眾多企業及軟體及系統,我們希望透過和NTT DATA的合作更深入到企業內部,把台灣的資安實力帶進日本市場。」林政毅表示。
導入零信任架構的關鍵第一步:身分驗證與存取安全
而在有限的企業資源下,究竟應該從哪裡開始導入零信任架構?安永諮詢服務股份有限公司協理阮劭彥表示:「零信任其實是在為我們的創新賦能,很多企業因為擔心資安而不敢上雲、不敢用AI,就可以從這種應用上的痛點開始。」此外,另一個思考角度是從企業場景出發,除了身分認證是必要的之外,依企業場景評估自身企業需要哪些保護,由此展開企業資安策略的規劃。
幣託集團維運經理曹仲逵也分享,在數位金融時代,虛擬資產與金融科技業者面臨監管壓力、創新需求與攻擊威脅等三大資安挑戰,突顯了傳統邊界防禦的不足,而零信任架構成為了金融創新的安全基石,能在支持快速創新的同時,確保各層安全控制到位並滿足嚴格法規要求。
由於虛擬資產的獨特性,幣託格外注重交易所用戶存取安全:結合多因素驗證、生物特徵識別、行為分析偵測及地理位置驗證來強化驗證機制。他也特別提醒,在導入零信任時,應留意儘量不影響用戶體驗,避免為了安全性而犧牲便利性。「透過單點登入(SSO)、多因素認證(MFA)和上下文感知策略,零信任事實上可以提供無縫且高度安全的用戶體驗。」
零信任生態圈,滿足不同產業情境的資安需求
安永諮詢服務股份有限公司協理阮劭彥也特別提醒,零信任架構是一系列資安能力的組合,市面上很難有所謂「一站式」的零信任解決方案,因此,在不同資安解決方案的組合之間,需要格外留意訊號的整合。
例如Keypasco解決方案目前已拓展至日本、東南亞到歐洲到印度到美洲,除了MFA、零信任解決方案等產品的提供,也積極業界不同夥伴合作以打造完整生態圈,並針對不同產業應用情境進行優化。來毅數位市場營運副總劉彥伯表示,Keypasco擁有「快、很、準」三大優勢,不只面對攻擊的時候反應迅速,也即時因應全球法規變化達到合規需求,「準」指的是全面精準防護,「很」則是「很好用」,在無痛導入之外,更重視導入後的用戶體驗。
像是與英特爾、AMD皆有合作關係的印度知名IT硬體製造商HLBS就透過硬體與Keypasco 零信任技術的結合,成功為公司產品創造更多優勢。HLBS TECH PVT LIMITED董事總經理Mitesh Lokwani表示,印度IT硬體正面臨愈趨嚴峻的硬體相關網路威脅,「透過攜手合作,我們不僅打造硬件,更守護印度的數位化未來!」
Mitesh Lokwani指出,透過導入Keypasco MFA來提升關鍵防禦,可有效抵禦網路釣魚和暴力破解等基於憑證的攻擊,更強大的保護措施幫助HLBS達到全球性的監理合規,並增加面對政府、銀行和企業客戶的信任優勢。同時,MFA 讓使用者身分驗證更簡單,簡化了企業環境中的安全帳戶管理,在強化安全性的同時簡化了使用者體驗,幫助HLBS在競爭激烈的硬體市場中脫穎而出,並開拓新市場。
從企業佈局的戰略眼光出發,導入零信任不僅是資安策略,更攸關企業的營運韌性和永續競爭力;導入零信任不只是技術投資,更是重要的商業投資,為企業、品牌守住價值之外更能創造價值。
