【從「敵我意識」學防駭】打造「零信任」資安意識，落實最低限度授權是第一步

在武漢肺炎爆發初期，全世界大概只有臺灣對於中國官方提供的各種訊息抱持高度懷疑的態度，不只是因為兩岸長期以來的政治衝突帶來的彼此高度不信任，更重要的關鍵因素在於：早在2002年11月，SARS便已經在中國廣東順德率先爆發，初期也因為中國沒有第一時間向世界衛生組織通報，後續造成全球近30個國家爆發傳染

17年前的SARS爆發，為臺灣帶來47人死亡的血淚教訓

當年，臺灣因為沒有被納入全球疫情通報系統，無法取得最新疫情資訊和WHO的專業協助，不僅讓臺灣面對SARS疫情爆發時，缺乏種種國際奧援，而面對國內和平醫院爆發院內感染時，也手足無措，最後造成307人感染SARS，並有47人死亡。

長期以來，中國在國際社會上持續推動「一個中國政策」，強調臺灣是中國的一省，所以臺灣一直無法成為世界衛生組織（WHO）的會員國，無法參與世界衛生大會（WHA）的會員大會，也無法取得WHO相關的SARS全球疫情通報資訊。中國前國務院副總理吳儀更在SARS期間說：「管你們（臺灣）去死！」中國外交官則對臺灣記者說：「早就給拒絕了，誰理你們！」

時任衛生署署長的前副總統陳建仁便表示，臺灣當時因為政治因素，無法從WHO取得SARS的病毒樣本，最後只能透過美國的協助，才能獲得SARS病毒的相關樣本資訊。

不過，有了17年前SARS疫情的血淚教訓，也讓臺灣醫療院所對於各種傳染病的感染管制措施，更徹底落實在平日的作業環節，加上不斷地定期演練。

同時，過去向各國求助無門的慘痛經驗，使得臺灣此次面對武漢肺炎疫情爆發時，對於中國提供的各種疫情資訊抱持高度懷疑。

在今年1月初，即便臺灣和香港都有醫療團隊親臨中國武漢市，了解武漢發生的「不明肺炎」的真實爆發狀況，卻因為武漢當地政府不願意帶領臺港醫療代表團隊到醫院等相關敏感地方，以及企圖掩蓋部分資訊，更讓臺灣團隊回臺開會後，決定提高對武漢爆發不明肺炎防疫警示手段，甚至直接決定對武漢搭機返臺民眾，進行上機檢測。

也因為臺灣政府對中國政府提供的疫情資訊，事先抱持種種的懷疑和不信任，決定一口氣拉高臺灣的防疫意識和作為，才能做到迄今臺灣只有451名確診者、7人死亡的防疫成績。

敵人不只同業和競爭對手，各種網路犯罪份子多不勝數

關於防疫的面向上，臺科大資管系特聘教授吳宗成表示，臺灣因為有SARS的前車之鑑，所以對於中國提供的各種防疫資訊，往往會多留一份心眼，將中國視為臺灣防疫的敵人。

不過，「在資安的領域上，敵人不只有中國，」吳宗成認為，所謂的敵人，包括企業競爭對手和其他同業都算是；其他像是許多網路犯罪組織，四處刺探情報的作為，也算是敵人的一種，例如，許多遊戲產業為了拓展市占率或是賺取點數金流，他們經常面對的對手，就包含來自中國的網路遊戲私服（私人伺服器）業者。

「了解敵人就是保護自己」，國際電腦稽核協會（ISACA）資訊風險治理諮詢小組委員楊博裕認為，表態站在自己立場另一側的就是敵人，以目前5種常見的資安威脅來看，包括：內部威脅（Insider Threat）、網軍、網路犯罪組織、Script Kid，以及商業間諜（常見以竊取科技業高價值的智慧財產權）。如果從國家、政府、企業到個人，能夠落實這五個面向的資安防護作為，也可以有效打擊網路敵人。

臺灣安永諮詢服務總經理張騰龍表示，借鏡他山之石可以有效打擊敵人，臺灣發生的許多資安事件，往往都有跡可尋，不管是ATM盜領或者是SWIFT盜轉帳事件，經常是在國外某處已經發生類似的攻擊事件之後，在臺灣才出現類似案例。他認為，臺灣面對整體區域和全球政治角力時，各種國家層級的資安威脅，不只中國是敵人，甚至連美國都是敵人，因此，我們必須要做更完整、更全面的資安風險評估。

落實資安「零信任」，永遠只給最低限度的授權

在防疫上，我們因為不信任來自中國的資訊，提高防疫意識，創下臺灣優異的防疫表現，同理，如果將防疫的經驗用於資安防駭上，該怎麼做？資誠智能風險管理諮詢公司執行董事張晉瑞認為，「零信任」（Zero Trust）的資安防護觀念，才是真正的核心關鍵。

他進一步解釋，不管是企業的外包廠商拷貝機敏資料，員工跳槽競爭對手，或者是任職於虛擬貨幣交易所心生不滿的離職員工，外洩公司機密資料等，面對這種實質的「敵我」界線，很容易透過各種管控措施防禦，但在畫分網路安全等級時，也因為網路邊界逐漸消弭，而無法輕易以「內」、「外」來界定信任與否，於是，零信任這種看似極端卻不得不然的管控措施，逐漸成為顯學。

零信任的核心概念就是「Never Trust, Always Verify」，所以，張晉瑞說，防駭的第一步就是做好權限控管，而好的權限控管則是「永遠只提供最低限度的必要授權」，並透過員工行為分析搭配過去的異常警告，及早發現問題。

資誠智能風險管理諮詢公司執行董事張晉瑞認為，面對無邊界的網路威脅，已經無法使用內、外的概念界定安全與否，網路防護將全面提升到「零信任」的概念。（攝影／洪政偉）

KPMG顧問服務部執行副總經理謝昀澤則說，企業進行日常的資安防護，除了持續掌握已知的惡意國家、競爭對手等基本網路與IP位址資訊外，在各種防禦設備的設定，也應該有特許／禁止名單（俗稱黑白名單）的基本概念，例如，我們對於已被宣告為綁架程式跳板的IP位址、或被宣告為垃圾郵件散布源頭的電子郵件信箱地址等，應該經常性地進行更新。

 更多相關報導  從防疫學防駭