數位浪潮之下,各種風險也隨之不斷演變,如今導致安全與信任之間的關係,越來越不平衡,全球都關注該如何因應,基於這樣的態勢,在美國每年10月固定舉辦的全國資安意識月前夕,思科提出了新信任標準(The New Trust Standard)的口號,期望扭轉現今的威脅局勢。

這當中主要以零信任(Zero Trust)網路安全策略,作為新時代信任標準的首要構成,同時,也是與該公司合作的廠商,都需努力的目標,思科甚至倡議各方供應鏈都該重視,臺灣產業勢必也要關注這股潮流,儘早做好準備。

不只網路安全零信任與供應鏈安全,要贏得企業與客戶之間的信任,需在多個層面設法提升

「信任」真的失效了嗎?從現實面來看, 互信的確出現很大的問題,資料外洩日趨嚴重,供應鏈威脅更引發產業高度重視,持續成為國際與資安界關注的焦點。為此,美國政府已積極採取行動,對於零信任與供應鏈議題,提出國家級別的戰略。例如,美國聯邦倡議採用零信任原則與方法來保護資訊系統與網路,於是NIST推出《NIST SP 800-207 Zero Trust Architecture》標準文件,而在2021年5月12日,美國總統拜登簽署EO 14028的總統行政命令,當中已經強調零信任與供應鏈安全的實踐。

同時, 該國的大型IT廠商也早已陸續投入發展,例如,思科此刻提出的新時代信任標準,又再呼應此一態勢。更引發我們關注的是,多年前他們已提出零信任架構,也將這樣的概念融合於產品,而在這次新信任標準的發布中,他們並不只針對網路安全,而是在更多層面上,都提出新的信任基本要求。

思科表示,他們已採取多項行動,除了建立零信任架構,也與供應商簽訂合約,要求對方遵守資安與隱私標準, 此外,他們公布自家面對政府索取資料的原則與方法(a Principled Approach to Government Requests for Data),以及隱私資料表(Privacy Data Sheets),當中描述各產品服務對於處理個人資料的方式,並針對客戶常見問題提供足夠詳細的回答,以獲取其信任。

這意味著,相關議題早已受各界關注並持續進展,但如今思科的行動,開始將這些點、線,彙整成面,建構出一個更完整的信任框架。

這樣的國際態勢,勢必將會影響到國內企業,管理階層須具備更宏觀的思維,例如,面對近年備受關注的資安議題,包括零信任網路安全策略、供應鏈安全與資料治理的推動,企業必須思考:如何從現有的信任基準,拉升到新水準。

關於實踐新信任標準的意義,思科指出,現在要贏得客戶的信任,需依賴整個組織具備足夠的安全性與透明度,而這裡所探討的對象,包括:產品、服務、人員、流程、道德與價值觀、內部系統、供應商與承包商。如此一來,客戶才能夠信任你,將資料交給你。

畢竟,若不知道環境裡有什麼,不了解硬體與軟體是如何製造,或者沒有證據表明相互連接的系統是如何做到安全,都會使我們面臨風險。

顯然,思科推動的新信任標準涵蓋更多層面,而這當中還不只是企業內部各構面與供應商,甚至還包含了道德與價值觀,儘管Cisco在此並未多作著墨,但也可看出現今信任關係的變化。

提出新時代信任標準的框架,包含5大關鍵要素,期望各界也能仿效

關於這個新信任標準,思科全球資安產品事業部業務經理朱育民表示,這樣的新信任概念,有助於塑造產業數位轉型思維,跨出更好的一步,而且,這個標準如同一份指引,也是一份大綱,能夠分享給客戶與供應商,讓他們在資安行動上,有更明確的方向可以遵循,同時希望這樣的概念,能讓其他企業也能仿效或思考。

具體而言,這是一個關於期望與責任的框架,要讓企業與客戶雙方都能同意新的規範,提升數位的信任關係。而這個新信任標準的內容,是思科整理歸納各方的交流經驗而來,包括了客戶、合作夥伴、資安產業與監管機構等,當中包含了5大關鍵要素,分別是:零信任架構、受信任供應鏈、資料治理、透明度,以及合規監管與認證。

Cisco在9月底發布了新的信任標準,為企業的數位轉型計畫提供指引,當中具有5大關鍵面向,包括零信任架構、受信任供應鏈、資料治理、透明度,以及合規監管與認證。(圖片來源:Cisco)

零信任

在思科新信任標準的組成要素中,零信任架構(Zero Trust Architecture,ZTA),被列為第一關鍵。

所謂的零信任架構,是指在允許存取之前,要經過強制且基於證據的判斷,作為擔保,也就是評估安全性,超過一定門檻之後,才可放行存取。目前,這種思維方式的轉變,還處於早期階段,但是,最終必須要滲透到所有的系統之中。而這些系統本身的安全變化,將對提供給客戶的產品與服務,帶來深遠的影響。

關於零信任的重要性,朱育民表示,各界對於零信任網路安全雖然已經談了許多年,但大家還沒有這樣的意識,隨著美國NIST提出SP 800-207,該國政府正要求各單位導入零信任架構的網路安全策略,因此,不管是標準、法規的力量,都已朝向這樣的趨勢。

他認為,這次思科提出新信任標準, 是一個很好的時間點,基於這樣的理念,也可以重新教育客戶、市場與整個產業,了解到零信任的重要。畢竟,現在企業面臨攻擊的層面是越來越多元,有了零信任網路安全策略,將可補強過往無法顧及的構面。

Cisco本身也這麼做,並已發展零信任解決方案。例如,他們在2019年提出對於零信任網路安全的定義,並將這樣的概念融入自身。朱育民表示,在他們所提的3W零信任架構中──Workforce、Workloads與Workplace,其實就與NIST發布的SP 800-207 ZTA標準文件中,所描述的3個關鍵技術吻合,也就是增加的身分治理、微分割與軟體定義的網路基礎架構。而他們之前所收購的DUO Security來強化零信任的技術,也就是成為思科Workforce的主要解決方案。

受信任供應鏈

第二個關鍵,是供應鏈風險的管理,也就是,要如何相信供應商,確認他們能建立值得信賴的供應鏈。事實上,供應鏈攻擊,已是近年最受關注的資安威脅,已為全球屢屢帶來嚴重損害,挑戰也相當大。

但無論如何,現在的局勢,就是客戶都希望服務提供商要能了解自身產品中所有元件,並採取合理措施來檢測與緩解各式資安問題。

對於供應鏈的議題,思科指出,複雜生態系統的廠商需要經過驗證,才能確保最終銷售或使用的技術,具有足夠的可信度,而這樣的檢核,必須要融入供應鏈流程與技術本身。

至於實踐方式上,思科提出6個要點,包括:防止竄改、要求供應商遵守正確的產業標準、建立信任鏈、在合約中建立信任,以及對自家與其他供應商產品的整合進行測試,並且定期執行稽核與漏洞測試。

其中的遵循產業標準,相當重要,事實上,推動資安與零信任架構時,這是一個好的出發點。要注意那些法規呢?舉例來說,包括:資安與隱私控制的NIST 800-53,資安管理標準ISO 27001,以及關於雲端使用安全的ISO 27018,還有隱私管理方面的ISO 27701等。

資料治理

這是新信任標準的第三要素,其目的在於,確保資料得到適當的處理,以及保護,例如,只為真正有需要的人提供存取權限,畢竟, 客戶都希望,服務提供者能保護他們的資料,這是數位世界信任的基本要求,但不僅僅是如此,還要能尊重資料權利,持續抱持能符合客戶與政府規定的期望。

而且,可以想像的是,越來越多的消費者,會考慮隱私與透明度的提供商。而資料的未來,將會朝向數位主權發展。

對此,思科提出3個建議,包括:運用技術控制、運用合規控制,以及考慮讓客戶能選擇資料存放資料中心的所在地區。

透明度

第四關鍵是透明度,企業要能揭露所有客戶所需的資訊,客戶能在知情的狀態之下進行選擇。過往資安界積極揭露資安漏洞與資安事件時,就已不斷呼籲與強調這樣的精神。

關於增加透明度的方法,思科提出以下建議:讓客戶更容易得知或找到資訊,對於重大漏洞資訊應公開,同時通知所有受事件影響的人,而且,在政府向企業或組織要求資料時,要能為客戶力爭、力保。

合規監管與認證

這是新信任標準的最後關鍵,也就是要能證明自己做到。這是達到互信的必要手段,企業應透過獨立的第三方驗證,以證明對客戶的承諾。

整體而言,除了前三大是關鍵主軸,後面兩個要素也相當重要,也就是透明度與認證,其精神貫穿整個標準。其實兩者的概念,過去已經不斷被強調,但重要性可能被忽略, 因此思科將它與零信任、供應鏈與資料治理並列。而從這5大方向著手,將是企業重新思考信任基準點的開始。

Cisco建議的零信任原則

●將客戶體驗放在首要任務,因為認證不應該是一種負擔。使用者完成工作需要可以方便地存取企業內部與雲端的應用程式。

●持續驗證使用者、設備與應用程式,確認其是否能夠信任。

●利用機器學習來識別異常用戶行為的嘗試登入。過程中,可能會有誤報事件發生,因此要權衡阻止合法存取的風險。

●應用程式安全性政策的強度要與資料的敏感性相符。這需要準確的資料分類,並要能夠瞭解正常應用程式流量是什麼樣子,這樣才能發現異常。

●確保不同應用程式元件之間需要安全的連接,例如應用程式邏輯與資料庫。

●讓入侵攻擊者更難從一臺伺服器移動到其他伺服器,使用技術包括網路分區隔離、強式的認證與加密,以及針對受信任的設備建立標記。

資料來源:Cisco,iThome整理,2021年10月

為何需要新的信任標準?

之所以提出新的信任標準,Cisco舉出了一個簡單的問題,你的客戶可以信任將資料交給你嗎?答案是,隨著商業型態複雜,信任這件事已不再是建立於個人關係之上,現在客戶的信任已經開始依賴整個組織的安全性與透明度,這裡談的包括你的產品、服務、人員、流程、道德與價值觀、內部系統、供應商與承包商。

因此,現在所論及的信任內涵,已經變得更加全面。例如,客戶是否能信任你,不僅取決於你的政策,也取決於你的供應商,甚至你的共應商的共應商;不僅取決於你的網路安全防護,並還取決於你在發生漏洞時的做法;不僅取決於你如何儲存客戶的敏感資料,還取決於你如何在周五下班之際面對國外執法部門的請求。

而且,現在的安全也與信任及透明度拖不了關係。Cisco說明,在什麼都相互連接的今日世界中,這意味著我們已是共享風險與共享安全的態勢。然而,不知道我們的環境裡有什麼,不了解硬體與軟體是如何製造,或者沒有證據表明相互連接的系統是如何做到安全,都會使我們面臨風險。因此,需要信任與透明度的存在並發揮作用,才能方便我們都能集體管理風險。


熱門新聞

Advertisement