其實你我每天都在玩《魷魚遊戲》,一場明爭暗鬥的資安攻防戰
用Zero Trust終結人性戰爭,啟動資安新秩序
席捲全球的《魷魚遊戲》,深刻描繪職場和社會底層人物的生活寫照;但對身為公司 IT管理者的我,倒覺得更像是一場和內部同仁明爭暗鬥的「資安木頭人」攻防戰!
在這場「資安木頭人」遊戲中,場景如同我們身處的辦公環境,IT人員就像那巨型女娃機器人,並在場景內打造一個內部網路安全環境,也就是傳統的「可信任區域」。在此遊戲場域內,每位使用者皆通過身份驗證並授權使用所有系統與裝置,IT人員僅在「可看的見的」範圍內實行安全監控;表面看來,員工會乖乖地依循資安政策,但是,一旦在監控視線外,所有人則可以恣意地橫向移動、存取裝置和機敏文件,出現成千上萬的資安漏洞!
Fujifilm Business Innovation
Trust到ZERO Trust的轉變
因此,在2010年,Forrester Research前副總裁、現任全球網路安全企業 Palo Alto Networks 的首席 CTO John Kindervag 提出「Zero Trust 零信任」(Zero Trust Architecture, ZTA)概念,強調任何的網路存取應預設為不可信任,亦即企業內部的內外網絡、每一個裝置、系統和使用者,皆須經過認證,才可依政策權限進行存取和監控。此架構一提出,各大企業如Google、Netflix、Microsoft也紛紛展開Zero Trust行動方案。
直至2020年8月,美國國家標準與技術研究所(NIST),發布NIST SP 800-207規範,將ZTA架構納入其中,成為美國聯邦政府採用ZTA的指南;甚至在今年五月,美國總統拜登一上任即下達網路安全行政命令,要求美國政府單位、相關機構和為其提供服務的軟體商,需於60天內制定ZTA實施計畫、完善備妥執法部門進行資安稽核所需的Log資訊和規定使用多重認證與安全加密等措施,全力導入Zero Trust新秩序!
邁向ZERO Trust,從三大面向著手,提升資安絕不失手!
第二,使用者身份驗證是存取裝置的第一道防線!不論透過單一認證或多因子驗證來確認使用者的合法身份,IT人員也需依照企業資安政策,謹慎考量每位使用者的存取權限,避免越權存取內部機敏文件,以強化整體的安全性。
第三,檔案和資料的紀錄追蹤。在架構整體Log操作紀錄的流程中,多數資安專家均推薦文件影像備份的管理模式,不僅能將所有文件影像備存,同時也能詳細記錄Who哪位使用者,Where在哪台電腦或事務機,What操作哪一份文件!讓所有操作都有詳細的Log紀錄,確保資安稽核無斷層!