5G時代下的資安防禦新思維論壇:新竹與矽谷兩大科技聚落攜手合作

AIT美國在台協會與我國行政院科技會報、科技部共同舉辦了「5G時代下的資安防禦新思維」系列論壇,日前於2020年11月4日巡迴至新竹場。系列論壇期望帶動各界對5G資安的重視,並透過美台合作聯防以強化、維護園區資安。

OPSWAT林逸軒:善用零信任架構打造終極安全的生產線
0-Trust vs 0-Day

「過往以來資安防護採行的是防護邊界政策,只要通過安全檢核即可入內,但現在的防護邊界正在模糊中。」OPSWAT中華區業務總監,同時也擁有CISSP證照的林逸軒,強調資安管理正面臨更嚴峻的挑戰。

圖 27:OPSWAT中華區業務總監林逸軒

現在連網裝置類型在增加、數目在增加、連網範圍在擴大,包含生產製造領域的工業控制現場也趨向連網,邊界與隔離範疇(或稱信任區Trusted Zone)已難以明確設定,對此資安防護的模型必須轉變,但由於不知道怎麼隔?乾脆選擇放棄?或走向去邊界化?因此零信任(Zero-Trust)應運而生,零信任亦即任何端點間的溝通傳遞都需要安全查核。

林逸軒進一步解釋零信任架構,零信任架構旨在防止資訊洩漏以及限制內部橫向移動,零信任架構不是單一架構或產品,而是一套資安工作流程、系統設計,以及資安營運的指導方針,零信任架構也不在於全然取代傳統邊界信任作法,兩者可以並行。

針對零信任架構美國NIST也發佈其標準,即NIST SP 800-207,內容包含預設狀態即為「不安全」、只採行通行白名單而非阻絕黑名單、任何裝置的接入都要查核驗證,每一次存取行為也都要查核驗證。

企業若期望往零信任架構轉移,可參考運用OPSWAT MetaAccess Software Defined Perimeter, SDP(軟體定義邊界),SDP本身即是個信任仲介器、控制器,用來驗證每個閘道與端點間的溝通傳遞。SDP不僅具備身份驗證、設備驗證功用也帶有微隔離效果。

圖 28:OPSWAT MetaAccess SDP技術示意圖

此外可搭配使用Deep Content Disarm and Reconstruction, CDR(內容撤防與重建)的深度檔案/流量清洗技術,以此抵禦已知與未知的資安威脅,以及抵禦零日(Zero-Day)攻擊、先進持續(APT)攻擊。

進一步的,為了擴大威脅能見度,可採行OPSWAT MetaScan,MetaScan匯集各資安技術業者的惡意程式偵測引擎(engine),透過多引擎的同時作用可提升惡意判別率。舉例而言,若4家業者的掃毒引擎可以偵測出62.8%的威脅,則8家業者共可偵出84.58%的威脅,依此類推,至20家引擎以上即可得到98.68%的偵測率,偵測率愈高企業則愈安全,此可謂是雞尾酒式防毒策略。

圖 29:OPSWAT MetaScan運用多掃毒引擎提升惡意偵測率

最後林逸軒也呼籲,任何數據、資訊與檔案的移轉都當抱持零信任的態度,要避免不受控制的內網橫向移動,零信任才能真正發揮作用。


關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416