【3 大神器】美國情報機關聯手研發 21 世代最強防禦對策
一方面,遠程工作、IoTs、網民秒秒遞增;各路黑客的交流平台由 Dark Web 擴展到 Clubhouse 等不同社交平台;裝置網速工具急速演化;雲端、Hybrid Cloud、Edge Platforms 將數據進一步集中,唯獨法規與執法效率追不上時代步伐,國家隊黑客卻諷刺地例外。事實上,企業在資安上一向都靠自己,但在 COVID-19 後擔子史無前例重,2020 年末 Solarwinds 中伏,向其近 2 萬客戶無料放送 Sunburst Malware,幾多人受影響未知,但美國國務院、國防部、軍火供應商、重要電訊商與大學院校均在名單之上,美國政府矛頭指向俄羅斯,是否開打網戰大家不妨買花生,但我們先談談企業資安部署困境。如果這宗事件仍未夠警世,Cybersecutiry Ventures 報告指 2025 年網絡犯罪涉及的金額將達 10.5 萬億美元,2021 World Economic Forum Global Risk Reports 總結資安現況多雞肋 - 相對黑客技術之先進,企業、政府、家庭的資安水準似有還無,阻礙經濟發展、造成地緣政局甚至社會不穩。
在險峻環境下自保,可以效法進取的政府或企業,採用 Security by Design、Defense in Depth 與 Zero Trust 三大 Risk Management 法寶擬定資安策略,應對出神入化的黑客手段。
Security by Design
正統 Risk Management 的基礎進路,尤其係重視資安的軟件或硬件開發商。資安專家 Jeff Spivey 在 United States Cybersecurity Magazine 撰文道出 Security by Design 的優點:「Security by Design 可持續進行風險監察與管理,定期找出資安威脅,按威脅水平順序處理,參考意見不斷學習」
Defense in Depth
資安平台對 Defense in Depth 有不同演繹,NIST 形容它是個「重要的資安架構,對 Industrial Control Systems(ICS)、雲服務、敏感資訊儲存等範疇有重大幫助。理想的 Defense-in-depth 要夠深 - 有多重層次;與窄 - 獨立的路徑含最少節點。」
Zero Trust
Zero Trust Architecture 以 Zero Trust 原則計劃工業與企業基礎設施與工作流程。Zero Trust 即是無論用戶或資料在任何物理位置、所使用的網絡、或資料管理者身份都均不獲信任,每次登入企業資訊都要進行身份認證與授權。有別以往靜態、網絡為界的防守意識,Zero Trust 針對用戶、資訊與資源,尤其在企業網絡範疇外的遠程工作、自備裝置、雲端化時代。相比 Security by Design 與 Defense in Depth,Zero Trust 是個全新領域,相關投資與開發仍屬起步階段,美國國土安全局正在探索最佳民用版 Zero Trust,而 US Cyber Command、Defense Information System Agency、the National Security Agency 正聯手測試多種技術,研發政府資訊層面應用的 Zero Trust Strategy。NSA Cybersecurity Directorate 的 Technical Director Neal Ziring 表示:「團隊初步測試結果顯示,Zero Trust 相當有效防止、探測、對付與修複黑客攻擊。」
上述措施均能提高資安水平,但只有三者並用才能達到最大的加乘作用,盡量偵測所有漏洞、移除威脅、從無可避免的攻擊中快速修復,同時引入亦對策劃與適應有幫助。在不斷擴充的守衛面積與日新月異的攻撃模式面前,三者並用顯得份外重要與貼切。
