近期政府機構網站遭受中國駭客入侵的事件日益頻繁,加以數位發展部旗下的國家資訊安全研究院即將在年底成立,資安話題再度熱燒。事實上,隨著混合工作型態崛起、雲端應用普及、供應鏈攻擊層出不窮,近幾年業界紛紛採取新型態的認證架構與防禦觀念,藉以強化企業的資安競爭力。
零信任架構成主流
傳統的網路安全模型,假設有防火牆保護的企業網路內部是安全的,係以「信任」為前提,因此提供寬鬆的存取限制,但其實很多網路攻擊都是由駭客取得員工身分或控制員工電腦後,再進行橫向攻擊,因此讓許多企業付出慘痛代價。
有鑑於此,約翰 金德瓦格(John Kindervag)2009年在擔任研究機構Forrester首席分析師時,提出一種全新的資安模式-零信任(Zero Trust Model),其最大原則為「永不信任,一律驗證」,主張外部網路接入企業內部網路是需要規管及認證的,企業應建立一套全新的數位安全系統,任何使用者、設備、網路資源及數據均以不信任為前提,唯有身分經過驗證才能被信任、獲得相對應的存取權限。
在資安觀念的典範移轉下,許多企業開始將資安重心,從內網與外網的邊界,轉移到身分的安全保護。大型企業幾乎都擁有數千、數萬、甚至數十萬個「身分」,不僅包括員工、供應商或合作夥伴等自然人,也包括實體機器人、機器人流程自動化、物聯網等非人類身分,這些身分的存取權限如果沒有受到完善監督,就會成為企業最脆弱的部分,讓企業的商務機密或關鍵資產輕易外洩。
零信任安全原則的其中一個核心就是身分識別與存取管理(Identity and Access Management, IAM)。現在企業的網路邊界早已跨越了區域網路(LAN),遠距上班的員工會從全球各地使用公司的IT資源,各種應用程序和雲端服務也是橫跨全球,因此企業必須建構以身分治理與存取管理為基礎的架構,動態執行身分驗證、精準授權,並搭配良好的生命週期管理,確保網路與系統資源的安全無虞。
目前業界已推出先進的雲端身分安全解決方案,可提供自動化、即時、智慧的身分安全治理功能,還可透過人工智慧和機器學習功能,建立智慧分析模型,快速識別高風險的異常身分,並在決定應授予或禁止存取權限時提供智慧建議,大幅降低企業潛在的安全風險。
零信任網路架構的另一個重要作法,就是採取「微分段」的網路設計,以最少權限為原則,例如將不同部門及功能加以細分,不同部門的員工只能存取所屬部門的系統,每個部門之間的網路也設置防火牆來保護,一旦企業遇到資安事件時,就能有效縮減攻擊規模和影響範圍。這種方法過去也常用於數據中心及雲端環境中的網路區域,藉以隔離及保護不同區域的工作負載,將資安風險降到最低。
供應鏈同步提升資安
過去企業強化資安競爭力,多半將焦點放在自家的資安系統上,但近年來供應鏈攻擊層出不窮,網路攻擊的目標轉向鎖定供應鏈上網路安全防禦力最脆弱的供應商或第三方合作夥伴,再藉由其存取權限攻擊特定目標的系統。Anchore在一份2022年資安趨勢報告中就發現,由於供應鏈遍布全球,加以雲端應用技術日益多元,高達60%的受訪企業在2021年曾遭受供應鏈攻擊。
大家比較熟悉的,就是2020年底SolarWinds為許多美國政府機構和公司提供的IT庫存管理軟體,遭遇嚴重的供應鏈攻擊,導致至少18,000名客戶受到威脅;日本豐田汽車(Toyota)2022年初也發生其零件供應商遭到駭客入侵、導致零件管理系統故障的重大事件,共有14間工廠、28條生產線被迫全面停工,受影響的生產車輛數占整體產能的三分之一。
尤其當缺料、缺工的情勢下,全球企業都在積極透過多元化與區域化來建立更穩固的供應鏈,供應鏈的價值也日顯重要,讓網路犯罪集團趁勢作亂、發動勒索病毒攻擊,大量運用多重勒索的手法,逼迫大型企業支付鉅額贖金。他們先發動供應鏈攻擊,挾持受害企業的關鍵資料,接著威脅將資料公開,並威脅要攻擊受害企業的客戶、供應鏈或合作廠商,甚至在入侵某個企業的網路環境後,還會公開販售網路存取權限、系統管理員帳號及登入憑證給其他的網路犯罪集團。
為了防止供應鏈攻擊的風險,大型企業紛紛要求供應鏈企業必須同步提升資安作為,並嚴格審核供應鏈上的供應商,相關企業必須採取更積極的行動來符合資安規範,才能避免自身與供應鏈夥伴遭受數位資產及財務上的損失、營運的衝擊或無形商譽的減損,同時確保供應商與客戶之間的緊密合作關係。
另一方面,多數惡意攻擊都是來自勒索軟體和商務電子郵件入侵這類網路釣魚手法,因此資訊部門應強化員工的網路安全意識培訓,同時採取零信任安全原則,儘可能限制並追蹤對關鍵第三方的網路存取權限,也要充分掌握第三方供應商可能引入第四方風險的分包商。
迎接無密碼驗證時代
進入行動網路世代,社群平台、網路銀行、電商、App成為生活日常,許多人每天都要登入無數次的帳號密碼,但帳號盜用事件也日益猖獗,以帳號密碼驗證身分的方式不再是最安全可靠的登入途徑,業界開始倡議新世代的網路識別標準FIDO(Fast Identity Online),藉由生物特徵辨識或安全金鑰,在線上快速進行身分驗證。
傳統的密碼驗證架構,使用者的終端裝置與伺服器之間互相都知道帳號與密碼,或是以密碼產生的雜湊函式來進行驗證。FIDO認證模式則是將身分「驗證」與「識別」加以拆開,並採用公鑰及私鑰架構來確保安全,用戶在終端設備端採用指紋或臉部等生物辨識技術,或者進行多重因素驗證(MFA)進行解鎖,再由FIDO伺服器產生相對應的公鑰登入網頁或應用程式,伺服器不再保管用戶的密碼或私鑰,降低駭客入侵的風險。
FIDO聯盟是由PayPal、維立科技(Validity Sensors)等業者積極推動,並於2012年攜手成立,後續包括Google、微軟(Microsoft)、蘋果(Apple)、三星(Samsung)、英特爾(Intel)、Line、亞馬遜(Amazon)等科技大廠都陸續加入,以易用性、隱私安全、標準化為目標建立網路驗證標準。除了提升使用安全,用戶也不用再被複雜的密碼系統搞混,可改善使用體驗。
在台灣方面,金管會已於2020年將FIDO納入金融發展路徑圖,並於2021年成立「金融行動身分識別聯盟」,號召金融聯合徵信中心、財金資訊、金控公司、銀行、保險、證券商及期貨商,共同發展統一身分認證機制,未來可做到跨機構互通,例如在A家銀行開立數位帳戶後,可透過人臉辨識、指紋辨識等方式,登入不同銀行、證券機構的App,無須再重複驗證。
可以預期的是,在各政府及科技巨擘力推下,加以雲端身分認證SaaS服務日益成熟,很快即將迎來無密碼強認證的全新時代,消費者可逐步跟惱人的網路密碼說再見,金融服務及平台業者也可節省許多客服成本,擺脫網路詐欺及駭客攻擊的威脅。
