Thales DIS CPL大中華區資深技術顧問陳昶旭表示，Thales自2013年開始發布資料威脅報告(Data Threat Report, DTR)，今（2020）年更在全球16國訪問超過1,700名資訊主管以掌握更全面的趨向。

雲端威脅

調查首先顯示企業資料比過去面臨更嚴峻的威脅，26%受訪企業表示過去一年內發生過資安事件，49%受訪者職涯至今都遭遇至少一次資安事件，47%組織一年內發生資安事件或不合規。資料若不安全則增加企業於數位轉型的複雜度與風險。

更令人擔憂的是，企業雖已較過往更接受雲端環境，受訪中已有50%企業將資料放入雲端，其中卻有48%為機敏（機密、敏感）資料，且所有受訪者均坦承未對所有雲端機敏資料加密，約僅57%加密。

此外，超過八成的受訪企業使用2個以上的Public IaaS服務、2個以上的PaaS服務，以及11個以上的SaaS服務，無論使用何種型態的公有雲服務企業資料的安全性依然由企業主責，雲端服務業者(CSP)僅能提供服務面的安全承諾。

量子破解威脅

企業除了必須正視雲端威脅外另一威脅也必須開始關注，今年的調查首次加入量子威脅，目前IBM、Google、Intel等大廠積極發展量子電腦，一旦量子運算力達足夠強大，將可快速破解非對稱密碼演算法，對稱演算法也可加速破解。

因此，受訪企業27%認為一年內量子運算即可能對現行企業的加密資料產生威脅，72%企業則認為在五年內產生威脅。對此企業在評估加密系統時，當考慮系統日後是否能透過軟體、韌體或硬體模組等方式升級其演算法，以抵禦量子破解的威脅，Thales稱此為Crypto Agility。

Big Data、IoT防護

在大數據、物聯網等應用領域資訊主管也顯露擔憂，大數據必須將龐大的資料丟入資料湖內供多方分享，30%主管發現在分享環境中發現企業的機敏資料，37%承認缺乏有效的存取控管。物聯網環境中亦有27%發現機敏資料，26%未有效控管。

資深技術顧問陳昶旭補充說明，物聯網由於感測器節點、閘道器等多為特有設計，不容易在事後增補資料防護方案，建議在評估與佈建導入前即將資料安全防護列入考慮。

針對物聯網資料防護，Thales建議感測數據加密傳回企業後由DSM（資料防護管理器）管理，金鑰則放入HSM（硬體防護模組），同時也在雲端建立與使用DSM，且無論使用哪一家CSP均自己主責金鑰，保有資料控制權，此即BYOK(Bring Your Own Key)，並搭配Thales的CCKM(CipherTrust Cloud Key Manager)進行管理。

Mobile Payment、Container防護

接著為行動支付，由於法令與主管機關已對支付有週全明訂，所以行動支付目前少有資安事件，不過仍有54%認為可能洩漏個資，52%可能洩漏支付卡資訊，48%的行動支付App只採低安全度的認證。

另外容器技術是近年來熱門的話題，但其安全性還不夠完備，40%認為在容器環境中分享的資源可能違反隱私保護，38%擔心容器安全，以及38%會有未經授權的容器存取等。針對容器隱憂，Thales的技術可對每個容器映像檔加密，加密即形同隔離，達到防護效果。

DevOps

DevOps同樣是近年來的熱題，但也同樣有資料威脅，其中以金鑰、憑證放置與管理不當為最多，達34%；其次是採行不安全雲端基礎建設，為32%；至於落地資料未加密或未存取控管則為28%。對此Thales也建議導入BYOK與CCKM方案。

小結

綜觀上述可以歸結以下五點：

• 過去以本地端為主的資訊系統為求便利逐漸遷至雲端，但雲端環境不同於地端，原有的地端安全防護無法全部挪移至雲，導致防護立降低；
• 在積極採行多雲、混合雲以及各種型態(IaaS/PaaS/SaaS)的公有雲服務時，企業仍必須有自主的資料安全工具。
• 企業必須更加關注資料探索解決方案(data discovery solution)以及集中化的金鑰管理，藉此增加資料安全性。
• 關於資料安全解決方案尤其在加密上須保持警惕，這對因應今日多數的資料風險至關重要。
• 量子運算技術持續突破，在未來數年內即可能破解現行大宗運用的非對稱式密碼系統，企業對此當保持關注並提前因應準備。

除了從調查獲得的體認外陳昶旭也補充，資安領域正邁入「零信任，Zero-Trust」時代，為避免資料威脅建議企業當依序確認與建立以下四點：一、探索企業內的機敏資料並將其分類；二、對機敏資料實施加密；三、保護好加密所用的金鑰；四、落實使用者存取控管。

實際案例分享

最後陳昶旭也分享兩個實際的企業導入案例，首先是一家法國保險業者希望落實集中化的加密政策，無論在地端或雲端都必須遵循適用此政策，因此採用虛擬化的DSM(vDSM)確保在地端、雲端均可執行，而後將金鑰放入HSM，而HSM設備也提供虛擬化能力，能切割部分資源支援企業內其他的PKI（公眾金鑰基礎建設）。此案例同時也導入BYOK、CCKM，以及在公有雲環境中運用BYOE，E即Encryption加密之意。

另一個案例則為度假旅館，主要目標是實現去識別化，該旅館有建置自有的防護資訊與事件管理(SIEM)系統，以此統合收集自有資訊設備的日誌資料進行資安分析，不過日誌資料也上拋一份至雲端，為了避免傳至雲端時可能的資料洩密，因而在內部先行將資料去識別化後方傳入雲端。

由此可知，Thales的資料加密方案適用於各種型態與環境，型態如資料庫、檔案系統，環境包含雲端、地端、物聯網環境、大數據環境等，均能獲得相同一致的加密防護、存取控管、金鑰安全。