2023 亞利安方案日：混合及多雲環境下的資安合規

企業善用混合雲與多雲環境以增加商務便利性、商業競爭力已是大勢所趨，同時也是數位轉型的基礎，然雲端環境開放的特點也形同對駭客開啟大門，如何保護基礎與維持便利，進而持續提升競爭力，則需要妥善的資安防護。為此亞利安科技舉辦解決方案日，期許能為各界帶來防護認知、指引與方案。

亞利安科技總經理范梓芳：因應法遵合規，企業拒當下一個受害者

亞利安科技總經理范梓芳表示：現今的企業正面臨更嚴峻的資安挑戰，一是近年來資安事故頻傳，包含航空、租車、健保、戶役政等均發生個資隱私外洩，任何產業與企業都可能成為下一個受害者；再者是政府正逐步增強資安監管，強化上市櫃企業的資安管理機制，未來若企業遭遇資安事故隱瞞未揭露有可能處以高達 500 萬的罰款，同時也祭出金融資安行動方案 2.0，要求落實更多措施、防護要適用更大的範圍等。

由此可知企業應以積極態度作好防護避免發生事故，同時也必須對法遵合規有所因應準備，這些都需要更多的資安認知與行動，期望亞利安科技舉辦的 2023 年 Solution Day 能讓企業更輕鬆、正確地了解資安概念與防護規劃。

雲地整合時代，企業如何符合資安法規？

國家資通安全研究院副院長吳啟文引用世界經濟論壇 (WEF) 最新發佈的全球風險報告：「無論從風險發生的或然率或是風險發生後的危害嚴重程度，資安攻擊都是不可忽視的。」且無論短期、長期、企業或政府單位，資安風險均位居全球前十大風險之列，特別是大型資訊犯罪、關鍵基礎設施的網路攻擊等。

而關於資安威脅依網路攻擊鏈 (Cyber Kill Chain) 又可歸納為六類，包含社交工程、進階持續攻擊、漏洞利用、雲端攻擊、供應鏈攻擊、物聯網攻擊等，各類型攻擊不僅有增無減且手法更為精妙。

面對日益嚴峻的資安威脅，政府單位將規劃、推動零信任防護，首先參考 NIST 的零信任架構來實施布建，包含身分鑑別、設備鑑別以及信任推斷等層面。身分鑑別上採 FIDO2 技術的無密碼雙因子認證；設備鑑別則透過 TPM 或 Agent 方式實現註冊並對設備實施健康管理；信任推斷則依據使用情境計算每次存取之信任分數，以此為存取權限發放依據。

最後副院長也給予有心加強資安防護的企業組織多項建議，包含落實資安管理政策、強化外部威脅防禦，以及精進內部資安管理等三大面向。而各面向也包含更細部的展開工作，如政策上應加強宣導、強化帳號密碼的管理、確認系統安全、管控 BYOD 等；外部威脅防禦上則應注重 DNS 防護、對傳輸實施加密、提升監控能力等。至於內部精進上則需要加強委外管理、全盤掌握網路架構，並切實執行風險管理工作。期望各界都能從這些項目著手，作好資安防護。

資安合規及內外兼顧的安全防禦

亞利安科技資安技術支援部協理王添龍首先點出資安合規的三大目的：「保護企業機敏資訊、維護企業良好形象，以及避免被監管單位懲處。」企業當合乎哪些規範？首要是資通安全管理法，該法規為通用性準則，且會依實際資訊環境持續增訂、修訂；其次對金融業而言，去年底金管會頒佈的金融資安行動方案 2.0 也是必須遵循的規範。

因應法遵合規需求，亞利安科技提供多種對應方案，例如可運用 TOPPAN IDGATE 的身分驗證方案來實踐零信任 (Zero-Trust) 防護，或運用 Array 的 SSL VPN & SLB 設備建立安全的遠端連線以滿足居家上班 (WFH) 的安全需要。

進一步而言，企業在弱點管理上也有許多工作需要相對應的解決方案來輔助完成，包含弱點掃描、滲透測試、紅隊演練、攻擊面管理等。對此亞利安科技所代理的 Qualys、Pentera 以及 Cyberpion 等品牌，也提供從點到面的弱點管理方案。此外，如 Imperva 所提供的網頁應用程式防火牆（WAF）、資料庫安控稽核（DBF）等方案，也是目前企業所需要的重點資安產品。

掌握合規基本面的防護後，企業後續也要面臨新課題，包含資料爆炸性成長、更多法規要求、維護營運複雜化、資料外洩風險等，這些課題也顯示企業需要統一的資料保護方法，對此亞利安科技也提供對應的解決方案。

安全領域巨擘 Thales，其資料保護方案包含資料的發現、保護及控制，「資料發現」細部包括資料探勘、分類、風險分析等工作；「資料保護」與「控制」則包含資料加密、存取權限控制、安全情報 (Log) 等，特別是「資料控制」上必須做到集中管理、實現企業級金鑰管理、金鑰保護等。

歸結而言，加密是保護資料最直接的方式，唯有以資料為核心進行防護，企業才能因應更多資安威脅與防護挑戰。

雲地安全要兼顧，應用與資料要牢固－Imperva 幫您保護重要應用程式與資料庫

Imperva 資深技術顧問范鴻志先以駭客思維點出威脅問題：「駭客最終目標是企業的資料庫，最容易接觸的路徑是透過網站網頁應用程式，若不成則可能用 DDoS 攻擊耗盡企業的網站系統。」所以防護網頁應用程式及資料是重點，同時因應 DDoS 攻擊也要開始重視邊境防禦。

在邊境防禦上，Imperva 已在全球建立 50 個 PoP 以提供 Cloud WAF 雲端服務，能阻絕 DDoS 攻擊、清洗惡意的連線請求，比起地端 DDoS 防護方案更加有效，且服務水平協議 (SLA) 承諾在 3 秒內啟動防禦。

在應用程式安全方面，現在每天有超過 9 萬應用程式仍然受到駭客覬覦與攻擊，同時國外的 API 串連經濟開始興起，API 相關的資安防禦也成為新重點，全球知名資訊產業研究機構 Gartner 即表示 2022 年「API abuses」會成為頻繁的資安攻擊媒介 (attack vector)。

至於資料庫安全，Imperva 將重點放在稽核與安全，包含用 DAM 對資料庫活動風險進行分析、DRA(Data Risk Analytics) 對風險進行學習與偵測，以及透過 DBF 實現安全管控，在風險發生時即時發出告警或阻擋、進行隔離。

更重要的是，資料安全防護方案能在單一平台上輕鬆掌握，同時支援多種環境（地端、雲端、雲地混合）的建置，以此保障企業機敏資訊、個資隱私等安全。

數位身分認證在資安合規下之發展與應用－TOPPAN IDGATE 解決方案

凸版蓋特資訊董事總經理向可喜先說明：「IDGATE 專注於研發身份認證技術，2017 年通過香港金管局審核、2021 年獲得資安指標性機構 NIST 評測為全球 Top 12，並獲得國內五家金控、20 多家國內外金融機構包括純網銀認可使用。」2020 年 IDGATE 加入日本百年企業凸版集團 (TOPPAN Inc.)，進一步將事業觸角往東南亞、中東、非洲及歐洲等地延伸。

環顧今日的資通訊環境，過去的內外網信任邊界模式已不適用，取而代之的是零信任網路架構，運用多項因子驗證來實現識別防護為必要之措施。對此 TOPPAN IDGATE 對應提供多樣化的強驗證機制，較不敏感的操作僅需簡易驗證，關鍵動作則運用多時查核、多項驗證。

換言之，需以風險為基礎來設計驗證機制，事實上過去至今銀行實施的約定帳號、非約定帳號兩者採不同的限定規則，包含單筆轉帳、累積轉帳的金額上限不同等，即是呼應這樣的防護概念。

若要實現多因子認證，技術業者需具備多項識別技術，而 TOPPAN IDGATE 便具備多元驗證技術，如業者要同時具備多種識別技術，IDGATE 即可提供如人臉識別的 iDenFace、FISO 與 OTP 演算的 iDenKey，或合乎 OAhth/OIDC 標準的 iDenPass 等方案。

現今市場上有諸多身份驗證方案，為何要選擇凸版蓋特？向總經理提出五點，一是技術來自蓋特自主研發，二是以風險為基礎的多元驗證，三是達到銀行等級的資安系統，四是已高度相容並歷經市場考驗，五則是彈性的計價方式。期望各界均能善用多因子驗證技術實現零信任防護。