5G 時代下的資安防禦新思維論壇:新竹與矽谷兩大科技聚落攜手合作
OPSWAT 林逸軒:善用零信任架構打造終極安全的生產線
0-Trust vs 0-Day
「過往以來資安防護採行的是防護邊界政策,只要通過安全檢核即可入內,但現在的防護邊界正在模糊中。」OPSWAT 中華區業務總監,同時也擁有 CISSP 證照的林逸軒,強調資安管理正面臨更嚴峻的挑戰。
現在連網裝置類型在增加、數目在增加、連網範圍在擴大,包含生產製造領域的工業控制現場也趨向連網,邊界與隔離範疇(或稱信任區 Trusted Zone)已難以明確設定,對此資安防護的模型必須轉變,但由於不知道怎麼隔?乾脆選擇放棄?或走向去邊界化?因此零信任 (Zero-Trust) 應運而生,零信任亦即任何端點間的溝通傳遞都需要安全查核。
林逸軒進一步解釋零信任架構,零信任架構旨在防止資訊洩漏以及限制內部橫向移動,零信任架構不是單一架構或產品,而是一套資安工作流程、系統設計,以及資安營運的指導方針,零信任架構也不在於全然取代傳統邊界信任作法,兩者可以並行。
針對零信任架構美國 NIST 也發佈其標準,即 NIST SP 800-207,內容包含預設狀態即為「不安全」、只採行通行白名單而非阻絕黑名單、任何裝置的接入都要查核驗證,每一次存取行為也都要查核驗證。
企業若期望往零信任架構轉移,可參考運用 OPSWAT MetaAccess Software Defined Perimeter, SDP(軟體定義邊界),SDP 本身即是個信任仲介器、控制器,用來驗證每個閘道與端點間的溝通傳遞。SDP 不僅具備身份驗證、設備驗證功用也帶有微隔離效果。
此外可搭配使用 Deep Content Disarm and Reconstruction, CDR(內容撤防與重建)的深度檔案/流量清洗技術,以此抵禦已知與未知的資安威脅,以及抵禦零日 (Zero-Day) 攻擊、先進持續 (APT) 攻擊。
進一步的,為了擴大威脅能見度,可採行 OPSWAT MetaScan,MetaScan 匯集各資安技術業者的惡意程式偵測引擎 (engine),透過多引擎的同時作用可提升惡意判別率。舉例而言,若 4 家業者的掃毒引擎可以偵測出 62.8% 的威脅,則 8 家業者共可偵出 84.58% 的威脅,依此類推,至 20 家引擎以上即可得到 98.68% 的偵測率,偵測率愈高企業則愈安全,此可謂是雞尾酒式防毒策略。
最後林逸軒也呼籲,任何數據、資訊與檔案的移轉都當抱持零信任的態度,要避免不受控制的內網橫向移動,零信任才能真正發揮作用。