5G 時代下的資安防禦新思維論壇：新竹與矽谷兩大科技聚落攜手合作

OPSWAT 林逸軒：善用零信任架構打造終極安全的生產線
0-Trust vs 0-Day

「過往以來資安防護採行的是防護邊界政策，只要通過安全檢核即可入內，但現在的防護邊界正在模糊中。」OPSWAT 中華區業務總監，同時也擁有 CISSP 證照的林逸軒，強調資安管理正面臨更嚴峻的挑戰。

現在連網裝置類型在增加、數目在增加、連網範圍在擴大，包含生產製造領域的工業控制現場也趨向連網，邊界與隔離範疇（或稱信任區 Trusted Zone）已難以明確設定，對此資安防護的模型必須轉變，但由於不知道怎麼隔？乾脆選擇放棄？或走向去邊界化？因此零信任 (Zero-Trust) 應運而生，零信任亦即任何端點間的溝通傳遞都需要安全查核。

林逸軒進一步解釋零信任架構，零信任架構旨在防止資訊洩漏以及限制內部橫向移動，零信任架構不是單一架構或產品，而是一套資安工作流程、系統設計，以及資安營運的指導方針，零信任架構也不在於全然取代傳統邊界信任作法，兩者可以並行。

針對零信任架構美國 NIST 也發佈其標準，即 NIST SP 800-207，內容包含預設狀態即為「不安全」、只採行通行白名單而非阻絕黑名單、任何裝置的接入都要查核驗證，每一次存取行為也都要查核驗證。

企業若期望往零信任架構轉移，可參考運用 OPSWAT MetaAccess Software Defined Perimeter, SDP(軟體定義邊界)，SDP 本身即是個信任仲介器、控制器，用來驗證每個閘道與端點間的溝通傳遞。SDP 不僅具備身份驗證、設備驗證功用也帶有微隔離效果。

此外可搭配使用 Deep Content Disarm and Reconstruction, CDR（內容撤防與重建）的深度檔案/流量清洗技術，以此抵禦已知與未知的資安威脅，以及抵禦零日 (Zero-Day) 攻擊、先進持續 (APT) 攻擊。

進一步的，為了擴大威脅能見度，可採行 OPSWAT MetaScan，MetaScan 匯集各資安技術業者的惡意程式偵測引擎 (engine)，透過多引擎的同時作用可提升惡意判別率。舉例而言，若 4 家業者的掃毒引擎可以偵測出 62.8% 的威脅，則 8 家業者共可偵出 84.58% 的威脅，依此類推，至 20 家引擎以上即可得到 98.68% 的偵測率，偵測率愈高企業則愈安全，此可謂是雞尾酒式防毒策略。

最後林逸軒也呼籲，任何數據、資訊與檔案的移轉都當抱持零信任的態度，要避免不受控制的內網橫向移動，零信任才能真正發揮作用。