CYBERSEC 2022 臺灣資安年鑑 ─ 零信任資安時代來臨:信任邊界徹底瓦解,安全需源自反覆驗證

iThome電腦報週刊編輯部

買這商品的人也買了...

相關主題

商品描述

掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應

 

<推薦序>

今年臺灣資安大會以「Change Now」為題,提醒大家當前推動數位轉型的變革之餘,資安現在就必須隨之升級,零信任的持續推動與落實,當然也是確保整體資安的關鍵

──李宗翰∕iThome電腦報週刊副總編輯

<作者序>

於COVID-19疫情之下,我們都經歷半年以上的在家辦公,恰巧同住室友也因照顧生病家人而離開10個月,而這段獨居期間,家裡突然出現奇怪現象,擺放在外面的麵包、米糧,包裝出現莫名的破洞;夜間廚房有怪聲,原以為是鬧鬼,後來終於發現罪魁禍首是老鼠。
但明明居住在5樓,多年來頂多是有螞蟻、蟑螂,出現老鼠卻是頭一遭,完全沒預料到自家會被鼠輩侵擾。它究竟從哪裡鑽進屋內的?有次我終於眼睜睜看到老鼠從設置在廚房的熱水器頂部跳下,仔細一想,才意識到先前為了改善廚房排氣,而長期將窗戶半開著,雖然下方設置了一個風扇,但在排氣管與風扇之間仍是暴露在外的,先前我們只擔心可能會有雨水潑入,結果卻是足以讓老鼠能夠出入。
但老鼠如何爬上5樓高度,再乘隙侵入屋內?我猜想與隔壁公寓有關,因為廚房外窗與這建物的陽臺高度相近,而我樓下住戶廚房外側有個遮雨棚,可能老鼠是從隔壁公寓躍至這個遮雨棚,再跳進5樓廚房窗戶的縫隙。這個假設看似很神乎其技,但我目睹老鼠敏捷地從廚房地板躍至熱水器頂部,再溜到外面,也不得不認為此種可能性極高。
於是,我將這個縫隙封閉起來,以為不會再被侵入,但後來我發現自己又錯了,因為兩片鋁質玻璃窗原本就處於不夠密閉的狀態,交錯的鋁質玻璃窗之間仍有一條長形縫隙,是足以讓老鼠出入的,後來,我還真的看到老鼠硬是從廚房地板跳至這裡的縫隙,憑它小而軟的身軀鑽出去了。之後,我當然又設法將這裡堵住,才真正斷絕了破口。
關於漏洞發現與圍堵的過程,讓我聯想到資安威脅何嘗不是如此。我真真實實地學到教訓「從前沒發生過的,並不代表永遠不會發生」,過去可能只是因為老鼠以前沒找到這個縫隙,又或許是它們因為過於飢餓而在尋找出路的過程中,發現一個並未對其設防的食物天堂。
在苦思如何驅逐鼠輩、卻不損及其命時,我想到要用籠子與誘餌來捕捉,可惜對方不上當,為了確保食物保存與斷絕它進食的可能性,室友後來想到的方式是去設置透明的收納整理箱,將需要取用的食物放在此處,兼顧能見度,老鼠又無法輕易咬破,達到堅壁清野的效果。
若將這樣的因應之道對應資安威脅防禦方式,就好比所謂的微分段,透過隔離方式將這些脆弱、有價的資產與原本的空間區隔,使攻擊者難以向目標進行橫向移動,而這樣的管理也是某種最小權限的實現,我們不讓這些資產直接暴露在室內空間,想取用必須打開蓋子。
諸如此類狀況,俯拾皆是,而資安防護長年流行新概念,如縱深防禦、零信任,這些不只是專業術語,往往也取自現實狀況的對策,兩者之間是互通的,因此,相關概念的理解與溝通,其實可以更靈活。

 

<內容試讀>

近年來,在網路安全的觀念上,零信任是越來越熱門,不僅資安專家、廠商都在提倡,在2020年8月,美國國家標準暨技術研究院(NIST)發布了SP 800-207標準文件,不只是成為美國政府所需的零信任原則網路安全架構,在國際上,也成為企業組織實踐零信任的重要參考。
這股零信任的浪潮已經開始,並且持續發酵,在2020年10月,美國NIST旗下國家網絡安全卓越中心(NCCoE)也預告,將推出相關SP 1800系列指引,幫助當地企業落實零信任。
不僅如此,到了2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,同年5月,美國國防部國防資訊系統局(DISA)也宣布,將推出零信任參考架構。
顯然,隨著零信任架構的發展到了全新階段,不只是資安業界提倡,如今,更是已經成為國家層級都相當看重的網路安全新策略。
而這股應用零信任的風潮,現在也正吹向臺灣。其實在前兩三年,我們就已看到不少廠商打出零信任的大旗,提倡新的網路安全觀念,但在國內仍是少見且新鮮的議題,特別的是,在2021臺灣資安大會上,許多講者都開始探討或提及零信任。
在這樣的趨勢之下,零信任已成網路安全防護的新焦點,加上2020年全球疫情持續至今,使得遠端工作議題重新被思考,臺灣在2021年也深受其影響,因此,對於零信任這樣的網路安全趨勢,勢必成為臺灣企業與組織,都值得參考與重視的資安思維。
關於零信任的網路安全戰略,這股資安防護趨勢其實醞釀已久,到了最近幾年,才成為熱門焦點。
事實上,隨著BYOD與雲端服務的興起,以及遠端存取等需求,許多年前,已經開始讓企業的網路環境有所變化,傳統單純以「內」、「外」來區隔的企業防護,已經逐漸被打破而成為備受關注的議題,更深一層來看,其實,在這樣的態勢之下,已經逐漸促使企業網路內外的邊界消失。而2020年後疫情影響下的大規模實施居家辦公,以及近年推動的數位轉型工程,再次讓企業積極評估相關風險,並驅動著零信任網路架構的持續發展。
然而,儘管ZTA概念持續發展,在這10多年來逐漸成形,但還是有很多人對於ZTA的認知,僅有模糊的概念,而且,到底零信任本身的發展是否達到成熟的程度?可能還是許多人的疑問。
簡單來說,自從2003年在Jericho論壇,開始有跨國工作小組探討網路邊界消弭(De-perimeterisation)的議題,到了2010年,有了較為具體的零信任概念浮上檯面,因為時任Forrester Research首席分析師John Kindervag,在此時提出零信任模型(Zero Trust Model),這些都帶動了零信任網路安全策略的發展。
不過,要將零信任網路安全架構化為可能,還是需要實踐,在2014年,Google釋出了一份名為BeyondCorp的文件,成為焦點。
根據Google說明,當時幾乎每家公司都使用防火牆來強化企業邊界的安全,然而,這種安全模型是有問題的,因為當邊界被破壞時,對攻擊者而言,相對是容易存取公司內部網路。因此,Google在網路安全採取了不同的方法,取消內部網路特權的要求,之後他們並長期推動這項計畫。
Google之所以這麼做,是從他們在2009年遭遇網路攻擊後,開始有了這樣的構想。該起事件,被稱之為極光行動(Operation Aurora),當時該公司的Gmail服務在12月中旬,遭遇了來自中國的APT攻擊,同時還有20家業者也遭受類似的攻擊,包括Adobe、Juniper Networks等。
在上述資安事件後,Google提出了新的內部計畫,目的是希望能了解員工與設備是如何存取內部應用程式,並重新建構自家網路安全架構。
經過五年的醞釀,Google先是在2014年對外正式公開BeyondCorp的架構與存取流程,並在2016年公布他們本身是如何設計與部署。
從Google這七年來的努力來看,也意味著打造零信任網路安全環境,已經不再是空談。
到了最近三到五年,基於零信任的網路安全,呈現高度發展並持續演化的局面。例如,在Google長期推動之下,他們後續又將BeyondCorp實作於Cloud IAP,再將此內部應用轉化為商用服務,於2020年8月宣布推出BeyondCorp Remote Access解決方案,之後又擴大解決方案功能,在2021年1月發表BeyondCorp Enterprise。
事實上,不只是Google投入零信任,這幾年我們看到許多科技與資安業者,都基於零信任概念,持續研究發展網路安全架構或產品。
同時,對於零信任的探討也不曾停歇。例如,在2018年,市調機構Gartner提出他們的看法,指出網路安全應基於風險與信任,做到持續監控、評估、學習與調整,達到精實的信任(Lean Trust),而零信任只是朝向此目標的第一步。
隨著零信任概念的演進,不只是資安界與科技大廠關切,更是成為國家級資安戰略,美國政府甚至已經採取行動。
由於美國政府倡議採用零信任原則與方法,來保護政府資訊系統與網路,所以,在兩年前,2019年2月,美國NIST及旗下美國國家網絡安全卓越中心(NCCoE),在聯邦政府CIO聯席會(CIO Council)授權下,正式啟動零信任架構(Zero Trust Architecture)計畫。
在2020年8月,NIST正式頒布SP 800-207標準文件,旗下NCCoE也已啟動Implementing a Zero Trust Architecture計畫,並在2020年10月,發布計畫說明文件,預告將藉由自家實驗室提供ZTA導入範例,並推出零信任相關的SP 1800系列實踐指南。
再加上2021年2月,美國國安局(NSA)發布了「擁抱零信任安全模型」的技術指引,解釋採用零信任模型的優點之餘,他們並強烈建議:美國當地的國家安全系統、國防安全網路,以及國防工業的關鍵網路系統,都應該考慮零信任安全模型。後續,美國國防部國防資訊系統局(DISA)也在同年5月宣布,將提供零信任參考架構。
整體而言,持續演進的零信任網路安全架構,到了這兩年來,確實已經變得越來越具體,指出了傳統邊界防護策略的局限──舉例來說,傳統透過VPN讓員工進入內網的作法,一旦VPN帳密或憑證被竊,內網就被輕易突破。
相對地,在零信任概念上,是假設使用者帳戶與裝置都不能信任,因此強調內部網路應該如同外部網路,要有同樣的安全政策。
這種不信任的態度,如同白名單先預設都封鎖的作法,但零信任同時還強調了持續驗證以確保安全,包括藉由充分資料收集與分析,以及利用自動化達到即時決定,做到監控衡量現況與動態調整,以持續地活化整體防禦。
無論如何,網路安全零信任已有長足的發展與推動,決定採用的態度也越來越明顯,特別是在NIST SP 800-207發布之後,這不僅是讓美國政府對於零信任有遵循的依據,並可以讓外界對於日後的相關討論,能更有共識。
從這股零信任的發展潮流來看,對於臺灣企業與組織而言,勢必也成為必須關切的重要議題,最近一年以來,幾乎成為各家廠商與專家都暢談的議題。接下來,我們將介紹SP 800-207零信任架構,同時也找來熟悉這方面的資安專家與業者來解說,幫助大家更進一步理解與認識新世代網路安全策略。

作者簡介

iThom電腦報週刊長期報導企業資訊應用與技術發展,每年在臺舉辦臺灣資訊安全大會、臺灣雲端大會等大型技術研討會

目錄大綱

百年行庫從ATM案重生,一銀跨域挖角救火力挽狂瀾
以駭客為師,將資安轉化成企業競爭優勢
臺灣企業資安事件頻傳,究竟2021年有多嚴重?
今年臺灣企業最關心的資安威脅與挑戰是什麼?
2022年臺灣企業資安人力需求欠缺多少?
2022年臺灣企業資安投資重點有何新態勢?
網路安全架構邁入新時代,用零信任面對現代資安威脅
臺灣資安人才超搶手,政府民間紛紛出招培育人才
處理器與雲業者紛紛投入機密運算
Log4Shell超級資安漏洞風暴來襲
強化國家資安,美國白宮推動多項新世代防護對策
漏洞通報與情資共享要小心,有可能因外洩造成災情
首屆國際級工控資安評測出爐,資策會率先參與,盼能帶動OT資安發展
資安防禦知識庫MITRE Engage崛起,聚焦交戰、拒絕與欺敵領域
對抗勒索軟體來襲,臺灣資安通報機構教你做好防護
全球第一份半導體資安標準出爐,協助產業落實資安
公私協力!美國白宮公布強化資安最新戰略,提供依循指引
知己知彼做好資安!臺灣企業防護不足,一般專業駭客就能入侵
掌握敵之必攻,重新對焦整體資安防護策略
資安大事記
資安市場地圖導覽