Thales DIS CPL 大中華區資深技術顧問陳昶旭表示，Thales 自 2013 年開始發布資料威脅報告 (Data Threat Report, DTR)，今（2020）年更在全球 16 國訪問超過 1,700 名資訊主管以掌握更全面的趨向。

雲端威脅

調查首先顯示企業資料比過去面臨更嚴峻的威脅，26% 受訪企業表示過去一年內發生過資安事件，49% 受訪者職涯至今都遭遇至少一次資安事件，47% 組織一年內發生資安事件或不合規。資料若不安全則增加企業於數位轉型的複雜度與風險。

更令人擔憂的是，企業雖已較過往更接受雲端環境，受訪中已有 50% 企業將資料放入雲端，其中卻有 48% 為機敏（機密、敏感）資料，且所有受訪者均坦承未對所有雲端機敏資料加密，約僅 57% 加密。

此外，超過八成的受訪企業使用 2 個以上的 Public IaaS 服務、2 個以上的 PaaS 服務，以及 11 個以上的 SaaS 服務，無論使用何種型態的公有雲服務企業資料的安全性依然由企業主責，雲端服務業者 (CSP) 僅能提供服務面的安全承諾。

量子破解威脅

企業除了必須正視雲端威脅外另一威脅也必須開始關注，今年的調查首次加入量子威脅，目前 IBM、Google、Intel 等大廠積極發展量子電腦，一旦量子運算力達足夠強大，將可快速破解非對稱密碼演算法，對稱演算法也可加速破解。

因此，受訪企業 27% 認為一年內量子運算即可能對現行企業的加密資料產生威脅，72% 企業則認為在五年內產生威脅。對此企業在評估加密系統時，當考慮系統日後是否能透過軟體、韌體或硬體模組等方式升級其演算法，以抵禦量子破解的威脅，Thales 稱此為 Crypto Agility。

Big Data、IoT 防護

在大數據、物聯網等應用領域資訊主管也顯露擔憂，大數據必須將龐大的資料丟入資料湖內供多方分享，30% 主管發現在分享環境中發現企業的機敏資料，37% 承認缺乏有效的存取控管。物聯網環境中亦有 27% 發現機敏資料，26% 未有效控管。

資深技術顧問陳昶旭補充說明，物聯網由於感測器節點、閘道器等多為特有設計，不容易在事後增補資料防護方案，建議在評估與佈建導入前即將資料安全防護列入考慮。

針對物聯網資料防護，Thales 建議感測數據加密傳回企業後由 DSM（資料防護管理器）管理，金鑰則放入 HSM（硬體防護模組），同時也在雲端建立與使用 DSM，且無論使用哪一家 CSP 均自己主責金鑰，保有資料控制權，此即 BYOK(Bring Your Own Key)，並搭配 Thales 的 CCKM(CipherTrust Cloud Key Manager) 進行管理。

Mobile Payment、Container 防護

接著為行動支付，由於法令與主管機關已對支付有週全明訂，所以行動支付目前少有資安事件，不過仍有 54% 認為可能洩漏個資，52% 可能洩漏支付卡資訊，48% 的行動支付 App 只採低安全度的認證。

另外容器技術是近年來熱門的話題，但其安全性還不夠完備，40% 認為在容器環境中分享的資源可能違反隱私保護，38% 擔心容器安全，以及 38% 會有未經授權的容器存取等。針對容器隱憂，Thales 的技術可對每個容器映像檔加密，加密即形同隔離，達到防護效果。

DevOps

DevOps 同樣是近年來的熱題，但也同樣有資料威脅，其中以金鑰、憑證放置與管理不當為最多，達 34%；其次是採行不安全雲端基礎建設，為 32%；至於落地資料未加密或未存取控管則為 28%。對此 Thales 也建議導入 BYOK 與 CCKM 方案。

小結

綜觀上述可以歸結以下五點：

• 過去以本地端為主的資訊系統為求便利逐漸遷至雲端，但雲端環境不同於地端，原有的地端安全防護無法全部挪移至雲，導致防護立降低；
• 在積極採行多雲、混合雲以及各種型態 (IaaS/PaaS/SaaS) 的公有雲服務時，企業仍必須有自主的資料安全工具。
• 企業必須更加關注資料探索解決方案 (data discovery solution) 以及集中化的金鑰管理，藉此增加資料安全性。
• 關於資料安全解決方案尤其在加密上須保持警惕，這對因應今日多數的資料風險至關重要。
• 量子運算技術持續突破，在未來數年內即可能破解現行大宗運用的非對稱式密碼系統，企業對此當保持關注並提前因應準備。

除了從調查獲得的體認外陳昶旭也補充，資安領域正邁入「零信任，Zero-Trust」時代，為避免資料威脅建議企業當依序確認與建立以下四點：一、探索企業內的機敏資料並將其分類；二、對機敏資料實施加密；三、保護好加密所用的金鑰；四、落實使用者存取控管。

實際案例分享

最後陳昶旭也分享兩個實際的企業導入案例，首先是一家法國保險業者希望落實集中化的加密政策，無論在地端或雲端都必須遵循適用此政策，因此採用虛擬化的 DSM(vDSM) 確保在地端、雲端均可執行，而後將金鑰放入 HSM，而 HSM 設備也提供虛擬化能力，能切割部分資源支援企業內其他的 PKI（公眾金鑰基礎建設）。此案例同時也導入 BYOK、CCKM，以及在公有雲環境中運用 BYOE，E 即 Encryption 加密之意。

另一個案例則為度假旅館，主要目標是實現去識別化，該旅館有建置自有的防護資訊與事件管理 (SIEM) 系統，以此統合收集自有資訊設備的日誌資料進行資安分析，不過日誌資料也上拋一份至雲端，為了避免傳至雲端時可能的資料洩密，因而在內部先行將資料去識別化後方傳入雲端。

由此可知，Thales 的資料加密方案適用於各種型態與環境，型態如資料庫、檔案系統，環境包含雲端、地端、物聯網環境、大數據環境等，均能獲得相同一致的加密防護、存取控管、金鑰安全。