FineArt News

中小企業也能做到資安零信任

零信任(Zero Trust)是由John Kindervag10年之前所提出的安全概念模型,零信任有別於傳統的IT網路安全架構守護邊界作為主要訴求,零信任的概念是可以更完善的保護,在企業中不應該完全信任內部或外部的任何連線、裝置,需要用適當的方法認可每一條連線與裝置。

在零信任的安全架構中,需要做不同層面的思考,零信任主要目標可是透過各種方式限制使用者擁有過多的權限,對於每個網路連線都能夠檢查,強化整體企業的網路安全,確保企業不管是從外部或內部都能夠大大的降低威脅,因此對於使用的應用程式、裝置、資料存取、機密程度都做全方位的控管;並搭配更精細的權限分配,這樣才能夠展現出零信任的價值。

中小企業中往往會受限於預算、人力等等因素,對於零信任的安全架構據而遠之,認為只要先做好傳統的IT網路安全架構就行了,存著僥倖自己的企業應該不會這麼倒楣遭受到駭客的攻擊吧。但這樣的思維往往是駭客最容易下手的目標之一,因為傳統的IT網路安全架構對於內部的連線或是裝置往往是採取開放與信任的模式,這也是現今駭客攻擊中最常攻擊的方向。且現在因COVID-19的疫情肆虐,許許多多的企業都採取居家辦公(WFH, Work From Home)的形式,就已經突破了傳企業網路安全的邊界,到達員工家中的電腦或是雲邊緣,對於企業的資安風險大大的提升。

中小企業中,不一定可以購買昂貴的資安軟體或是設備,但可以一步一步的往零信任的方向規劃。先全方面的盤點目前企業的網路安全架構,充分的了解到目前的安全防護可以做到何種程度,是否可以有效的防範外部的攻擊,例如:防火牆、SPAM ServerWAF…等;以及往往在企業中最容易疏忽的,也是最難防守的就是內部的橫向移動攻擊,這也是駭客最擅長使用的攻擊手法之一。從企業最多的脆弱點攻擊,利用釣魚方式、水坑攻擊等從員工下手。另外,要充分的了解目前企業中所使用的資訊資產(資料、設備等)機敏性的高低,這些都要在做零信任的網路規劃上要考慮進去的。

不需一步達成零信任網路安全規劃,應先訂立明確的策略方向,務實的短中長程規劃,兩者充分的結合一起,一步一步達成零信任網路安全的目標。在零信任中,許多企業中最先採取行動的是權限存取控制與使用者權限控管,這也是零信任最重要的一環,就算有再昂貴的資安設備,在權限控管上有疏失,那麼所做的零信任網路安全架構就會有很大的破口。尤其在企業中往往會有一特權使用者或是特權帳號,起初可能是為了管理方便或是讓主管可以容易使用系統,但這些在未來的駭客攻擊中將會成為很大的攻擊目標。所以要做零信任的第一步,就是要重新審視這些特權使用者或是特權帳號是否有必要擁有這麼多的權限,開始制定所有的使用者權限,更明確的限制誰可以存取那些系統的權限,對於機敏性高的資料,存取權要管的嚴格,這些都是在做零信任網路安全中重要的一步。

零信任網路安全是要長時間不懈怠的一直做下去,不用想說一步就可以達成,現今的網路攻擊也是不斷的在變化,所以我們更要不斷的進化,不能用一成不變的思維去思考零信任,一步一步的將零信任網路安全架構建立的更完善。