零信任成資安防禦主流 保護及加值企業數位資產

臺科領航創新 實現未來｜Ubiquitous Cyber Security，歡迎至活動網頁收看。DIGITIMES攝

在龐大經濟利益的引誘下，駭客組織於疫情期間依然持續且擴大攻擊力道，根據 Check Point最新的網路安全報告指出，2021年企業每週遭受網路攻擊數量，較2020年增加50%以上。綜觀現今企業面臨資訊安全挑戰，大致上可分成三大類，首先是有人專門針對特定企業或組織去進行攻擊，其次是遠距辦公、行動辦公等帶來的存取形式改變，導致惡意程式攻擊範圍擴大。最後，則是出現大量非獲利目的駭客攻擊事件，如收集政治人物的個資、癱瘓關鍵基礎設施等。

疫情不僅加速企業數位轉型，亦改變人們生活及工作型態，以混和型工作模式為例，多數員工家中多半欠缺嚴格的實體安全防禦機制，因此駭客大舉針對居家工作者發動釣魚郵件攻擊，藉此作為入侵企業內部的跳板。若企業沒有合宜防護機制防範此種攻擊手法，最終將會使企業機密資料遭竊，並遭勒索軟體入侵的憾事。

國立臺灣科技大學資通安全研究與教學中心主任查士朝說，遠距辦公、行動辦公等已成為後疫情時代的日常，企業需重新思考資安防護機制，零信任架構被認為是能因應日益多變攻擊手法的最佳對策。此機制採用統一身分識別、網路傳輸加密、依照資料重要性進行分類與保護等作法，可降低被駭客入侵的機率，減少大量資料被竊取的狀況。

零信任架構對所有網路存取要求，均會採用最嚴格的審查機制，有助於挖掘潛藏其中的惡意威脅，也吸引許多企業、政府等紛紛導入。2022年1月美國預算與管理辦公室即發布備忘錄，要求在 2024 年底前，政府機構需在身分鑑別、裝置、網路、應用程式、資料等面向，均須符合零信任目標。美國聯邦政府推動的零信任策略，在身分識別方面，員工必須使用企業通用的去身分識別工具，避免個人遭受複雜的線上攻擊，如建立單一登入機制、使用多因鑑別、採用強密碼政策，並檢查是否有已知資料外洩情況等目標。

在引進零信任架構之外，企業資安治理也是重要的一環。資安是每個人的責任，若能提升整體資安意識，可有效降低惡意威脅入侵的機率。資訊安全專責單位是要協助每個人能盡到責任，才能讓資安防禦機制發揮預定效果。查士朝解釋，在全球資安人才不足的狀況下，企業不易聘請足夠專業人才，除要從公司內部培育著手之外，也應該要避免資安疲勞、創造工作價值，才能留住現有的資安團隊，保護企業的數位資產。

臺科大管理學院院長暨資管系教授羅乃維指出，企業推動資安治理時，應該涵蓋建立資安制度、定期風險評估、適當資安投資、安全企業環境等四大面向，才能讓整體資安防護更為健全。企業界對資安人才強烈需求，因此臺科大從三大面向投入資安人才培育工作，分別是資安長推廣教育學分班(預計9月開課)、資訊安全在職碩士班(籌設中)、資訊管理系碩士班資訊安全組 / 資訊安全學士學程(籌設中)等，為民間、政府等培育各種資安人才。

臺科大設有資通安全研究與教學中心，研究主題涵蓋以人工智慧與資料科學為導向之智慧資安分析、防禦與鑑識技術、智慧生活與新興應用等資安技術，透過跨域整合，將研究成果分享給產業和學界。

面對全球商業環境快速變化，臺科大與DIGITIMES聯合推出2022「臺科領航創新 實現未來」系列節目，涵蓋綠色能源、資訊安全、智慧移動、AIoT以及企業永續五大主題，業界想要瞭解國際市場動向，持續追求前瞻技術提升，以及培育相關人才，歡迎至活動網站報名觀看節目。