5G時代下的資安防禦新思維論壇:新竹與矽谷兩大科技聚落攜手合作
OPSWAT林逸軒:善用零信任架構打造終極安全的生產線
0-Trust vs 0-Day
「過往以來資安防護採行的是防護邊界政策,只要通過安全檢核即可入內,但現在的防護邊界正在模糊中。」OPSWAT中華區業務總監,同時也擁有CISSP證照的林逸軒,強調資安管理正面臨更嚴峻的挑戰。

現在連網裝置類型在增加、數目在增加、連網範圍在擴大,包含生產製造領域的工業控制現場也趨向連網,邊界與隔離範疇(或稱信任區Trusted Zone)已難以明確設定,對此資安防護的模型必須轉變,但由於不知道怎麼隔?乾脆選擇放棄?或走向去邊界化?因此零信任(Zero-Trust)應運而生,零信任亦即任何端點間的溝通傳遞都需要安全查核。
林逸軒進一步解釋零信任架構,零信任架構旨在防止資訊洩漏以及限制內部橫向移動,零信任架構不是單一架構或產品,而是一套資安工作流程、系統設計,以及資安營運的指導方針,零信任架構也不在於全然取代傳統邊界信任作法,兩者可以並行。
針對零信任架構美國NIST也發佈其標準,即NIST SP 800-207,內容包含預設狀態即為「不安全」、只採行通行白名單而非阻絕黑名單、任何裝置的接入都要查核驗證,每一次存取行為也都要查核驗證。
企業若期望往零信任架構轉移,可參考運用OPSWAT MetaAccess Software Defined Perimeter, SDP(軟體定義邊界),SDP本身即是個信任仲介器、控制器,用來驗證每個閘道與端點間的溝通傳遞。SDP不僅具備身份驗證、設備驗證功用也帶有微隔離效果。

此外可搭配使用Deep Content Disarm and Reconstruction, CDR(內容撤防與重建)的深度檔案/流量清洗技術,以此抵禦已知與未知的資安威脅,以及抵禦零日(Zero-Day)攻擊、先進持續(APT)攻擊。
進一步的,為了擴大威脅能見度,可採行OPSWAT MetaScan,MetaScan匯集各資安技術業者的惡意程式偵測引擎(engine),透過多引擎的同時作用可提升惡意判別率。舉例而言,若4家業者的掃毒引擎可以偵測出62.8%的威脅,則8家業者共可偵出84.58%的威脅,依此類推,至20家引擎以上即可得到98.68%的偵測率,偵測率愈高企業則愈安全,此可謂是雞尾酒式防毒策略。

最後林逸軒也呼籲,任何數據、資訊與檔案的移轉都當抱持零信任的態度,要避免不受控制的內網橫向移動,零信任才能真正發揮作用。