編輯部於 2025 年 10 月 21 日舉辦的「NMT 資安即未來論壇-新竹場」中,Forescout Technologies 台灣區總經理張恩綾以「零信任,零複雜」為題,深入探討企業在數位轉型浪潮下,如何透過零信任動態授權管理,化解日益複雜的網路安全挑戰。她指出,隨著 AI 應用普及化、 IT/IoT/OT 裝置激增,以及混合雲架構成為常態,傳統靜態邊界防禦已不敷使用,企業必須建立能夠持續評估、動態調整的零信任架構。
張恩綾開場便點出當前企業面臨的核心困境:「明明投資了非常多資安工具,駭客還是有辦法進來。」她分析,問題往往出在三大盲點-未知資產帶來的無形威脅、內網扁平化容易造成橫向移動,以及供應鏈存取形同後門。特別是那些無法安裝 agent 的 OT 設備、 IoT 裝置,以及跨部門難以介入管理的系統,反而成為駭客最容易攻破的缺口。
本文目錄
NIST 零信任標準的實踐路徑
張恩綾詳細說明了 NIST 零信任框架的演進。 2020 年發布的 SP 800-207 提供了零信任的原則與架構藍圖,適合架構師與決策者參考;而 2025 年新發布的 SP 1800-35 則是實務指南,包含 19 套範例說明如何用現有商用產品落地零信任架構,並可對映到 NIST CSF 1.1/2.0 與 SP 800-53r5,方便實作者與合規人員進行導入與稽核。
她強調,零信任並非單一專案或工具的部署,而是持續性的管理策略演化過程。 Forescout 的方法論「ADAPT」清楚勾勒出五個關鍵階段:Address(資產發掘與分類)、 Design(建構防護面)、 Automate(強化合規性)、 Protect(運用跨域防護能力)、 Tune(持續優化)。每個階段都環環相扣,缺一不可。
全面可視性:零信任的第一步
「你要保護什麼,首先要看得見。」張恩綾指出,傳統資產盤點工具最大的問題是缺乏全面可視性。許多企業購買的盤點工具只能看到安裝 agent 的 OA 設備,對於 IoT 、 OT 、醫療設備 (IoMT) 等無法安裝 agent 的裝置毫無掌握。 Forescout 透過被動式監聽、主動式掃描、 NetFlow 收集等多重技術,搭配與 100 多種資安工具的 API 整合,能夠識別並分類所有連網資產,包括受管與未受管的設備。
她舉了一個實際案例:某客戶因為無法即時掌握昂貴繪圖軟體的使用狀況,被原廠稽核發現授權數量與實際使用不符,每套罰款 60 萬元起跳。「傳統盤點工具是靜態的,無法告訴你這些軟體裝在哪裡、誰在用、用了多久。」透過 Forescout 的動態監控與 Machine Learning 分析,企業不僅能避免授權浪費與合規風險,更能識別 Shadow IT 、發現孤兒裝置 (orphan devices),有效降低 30% 軟體支出。
動態授權:Policy Engine 的核心價值
Forescout 最強大的能力在於其 Policy Engine-一個能夠收集盡可能多的設備上下文資訊,並根據動態策略進行即時決策的引擎。張恩綾解釋,零信任的核心不是「一刀切」地阻斷或放行,而是根據使用者身份、裝置健康狀態、應用程式行為、環境屬性等多維度資訊,動態調整存取權限。
她以印表機為例:「如果印表機有 CVE 漏洞但無法立即更新,我們可以限縮它的權限,只允許 9100 port 的列印傳輸,駭客就無法利用它進行其他攻擊。」這種「最小權限原則」的動態實踐,讓企業能在不影響業務營運的前提下,有效降低風險暴露面。
特別值得一提的是,Forescout 能夠與既有的 RADIUS 、 802.1X 認證機制無縫整合,透過 CoA (Change of Authorization) 機制,在使用者已連線的情況下動態調整網路權限。這讓企業不需要大幅變動既有基礎架構,就能實現零信任管理。
美國國防部的實戰驗證
張恩綾分享了美國聯邦控制局 (U.S.A. Federal Control Agency) 的真實案例。該組織管理 14,000 個端點,原本已部署 802.1X 進行靜態認證,但導入 Forescout 後發現:15% 的設備缺少或故障 EDR/修補/EPP 代理程式、 10% 的終端未進行週期性防毒掃描、 25% 的設備安裝或執行未核准或過時的軟體。
透過 Forescout 的持續監控與動態評分,該組織能夠即時識別不合規設備,並透過 CoA 機制自動調整其存取權限-合規後恢復正常權限,不合規則限縮至修復區。這種「先確保合規,再授予存取」的做法,大幅提升了整體安全態勢。
The Forescout 4D Platform
張恩綾最後介紹了 Forescout 的最新平台架構-4D Platform 。這個平台整合了地端的 Security Core 解決方案與雲端的 SaaS 模組,能夠實現「Connected Edge(各式連線數位資產)」、「Integrated Mesh(整合數百種資安與營運系統)」、「Cloud Scale(雲端 AI 智慧分析與智慧管理)」三層架構。
平台核心包含 eyeSight(資產發現)、 eyeControl(存取控制)、 eyeRecover(事件回應)、 eyeInspect(OT 安全)、 eyeExtend Connect(系統整合)、 eyeExtend EcoSystem(生態系擴充)、 eyeScope(雲端可視性)、 eyeSegment(網路分段)、 eyeFocus(威脅獵捕)以及 eyeAlert(AI 報告生成)等模組,企業可根據需求分階段導入。
結語
「零信任不是一個終點,而是持續演進的旅程。」張恩綾強調,Forescout 的價值在於提供一個開放、可整合的平台,讓企業能善用現有投資,透過自動化流程與動態策略,實現真正的零信任管理。無論是降低工具蔓延、消除重複投資,或是提升風險可視性與合規就緒度,Forescout 都能協助企業「用更少元件,做到更安全」。
根據 Gartner 調查,截至 2025 年,全球 63% 的組織已完全或部分實施零信任戰略。在這場不可逆的資安轉型中,Forescout 以其獨特的 4D 方法論與強大的整合能力,為企業提供了一條清晰可行的零信任實踐路徑。
《2025 NMT 資安即未來論壇-新竹場》精彩議程會後報導
- 資安院孫偉哲主任:情資驅動的防護策略,製造業面對資安威脅的治理新模式
- 台灣駭客協會理事王仁甫:AI 驅動下的製造業資安戰線,從內部治理到外部攻擊的全方位防禦
- 智安佈局掌握資安:Fortinet 揭示 AI 時代的資安防護新策略
- 守護資產的未來:零信任安全架構實踐 Array Networks 打造安全遠端存取新標準
- 產業轉型必備:全面內網安全管理託管 中飛科技 FAiRGUARD 五大服務建構內網防護體系
- 資安升級為企業增加競爭力:AI 驅動零信任架構 Citrix 以 VDI 、 ZTNA 與企業瀏覽器打造資料不落地防護體系
- 向左走的資安:憑證管理自動化 & 漏洞 AI 修補 力悅資訊展示 AI 驅動的漏洞修補新思維
- 加強營運技術環境的資安韌性 Trellix 提出 OT 安全防護新思維