這幾年各界關注零信任網路安全,不只科技大廠重視,多個國家與企業都在提倡與導入這項戰略,但很多人不知道該如何著手。而在5月2023年臺灣資安大會上,趨勢科技技術策略長David Chow特地以此為題發表演講,他公開2018年在美國聯邦政府單位擔任資訊長的相關經驗,以及借助零信任架構(ZTA)概念來推動資安的實務作為,讓臺灣企業與政府組織可以借鑑。
11歲從臺灣移民到美國的David Chow,他累積了二十多年的美國聯邦政府工作資歷,從白宮基層實習生做起,後續曾到多個單位工作,像是能源部、交通部,之後到國家信用合作管理局(NCUA)擔任副資訊長與首席資安長長達七年,同時也在聯邦存款保險公司(FDIC)擔任顧問,並從2018年開始,擔任住宅及城市發展部(Housing and Urban Development,HUD)資訊長一職,同時,也肩負起網路安全工作的推動。David Chow表示,在美國政府要求實施零信任之前,他就已經借助零信任的概念來推動資安。
過去未重視網路安全防護,找出三大問題進行改善
David Chow公開了他在HUD推動資安的過程與經驗,其實相當艱辛,他遭遇了哪些重大挑戰?
簡單來說,HUD的職責是監管住宅,並為低收入家庭提供抵押貸款等任務,資訊長要負責IT技術方面的規畫與執行,一旦遭遇網路安全事件,也會被國會要求前去報告。
在2018年他上任之際,David Chow很快就發現許多問題:該單位並未重視網路安全防護。
例如,他問其團隊的第一個問題:是否導入網路全面可視性(Full Visibility)的解決方案,結果只得到「不確定」的答案,對於稽核或是因應網路安全能力的問題也回答含糊,不能馬上給予答覆。他表示,這在某種程度上來說,已顯現該單位對於網路安全並沒有真正的關注。此外,組織內僅有基本的身分與存取管理機制,且系統架構的管理非常分散,處於一個充滿技術債的環境。
甚至,其實這個資訊長一職在前任主管退休後,已空缺5年之久,不僅在執行網路安全方面缺乏連續性,而且,部門成員也都來自其他單位,其中一些人甚至沒有IT經驗。
上述這些狀況,都是他在2018年面臨到的問題。
活用零信任架構,視為資安成熟度框架與網路安全基礎
為因應政府要求,臺灣上市櫃公司有很多資安長上任,他們眼前的挑戰,與David Chow當時的狀況是類似的。
他如何應對?首先,他從稽核報告瞭解,單位在網路安全的資金投入是敬陪末座。每年4億美元IT預算中,僅約5%用於網路安全,其他單位投入的比例則是10%。
整體而言,他意識到3個重要問題,首先是,機構內本身缺乏專業能力、可視性,資安重要性長期被忽視,也缺乏必要的資金的計畫。因此,他先將整體網路安全預算提高20%,以便開始建立能力並推動。
在後續資安強化的作為,他指出可從人、流程與技術為出發,這是普遍資安專家會強調的重點,David Chow也不例外。
他認為,先要確保自身環境有可視性,隨時了解風險暴露情形,就像基於安全維運中心(SOC)的概念一般,而且,這些作為也需獲得團隊成員支持,因此,在招募正確能力的人員之前,他需要改變團隊中的個人思維,確保遵守網路安全政策,確保能夠解決持續存在的網路安全稽核問題,以及確保人們承擔責任,並透過相關培訓以改變整個環境的流程。雖然改變人的作為很難,但還是要推動。
技術同樣是關鍵,不僅內部IT環境的可視性需仰賴技術,有許多環節也仰賴各式技術。例如,他們為了發送驗證抵押貸款電子郵件的安全,導入了資料外洩防護(DLP)與加密相關的解決方案。
值得關注的是,David Chow當時就用零信任來推動資安,早於美國政府2022年正式宣布施行。由於過去零信任架構的概念仍不普遍,那時候他如何推動相關的業務?
David Chow表示,在一開始,他純粹只是將零信任架構作為一種溝通方式,以獲得必要的資源與預算,主要是利用這樣的概念,不只與利益相關者溝通,也要讓非資訊人員了解零信任的概念。
除了將零信任用於溝通,他還將零信任作為發展自身成熟度框架的一部分。例如,他用零信任架構來審視內部網路安全,以確定需要改進的領域,將其視為組織建構資安的基礎,因此當時他主要是將零信任視為一個框架來應用。
現於趨勢科技擔任技術策略長的David Chow表示,他過去擔任美國住宅及城市發展部(HUD)資訊長推動數位轉型與資安時,面臨著諸多挑戰,因此他以「人、流程、技術」的角度出發,以改進整體資安防護態勢。(圖片來源/趨勢科技)
提出組織網路安全路線圖,從八大面向採取行動
關於改善HUD網路安全態勢的具體目標與行動,David Chow首先說明了他在上任兩年時的戰略目標,包括:1.完善網路安全風險管理,2.開發與完善組織SOC,3.根據資料所有者的要求保護資料,4.建立網路安全文化。
而在這些目標之下,其實也就與「人、流程、技術」有重要的關聯,例如,與人有關的目標是第2、4點,與流程有關的是第1、2點,至於與技術有關的是第2、3點。
至於採取了那些具體行動?更是大家關注的焦點,David Chow展示了他在HUD推動網路安全現代化策略的路線圖,從中我們可以看到他是如何從無到有,一步步推動HUD的資安強化。
初期,他聚焦4個重點行動面向,分別是:一、在治理與風險管理面,建立基礎與風險管理計畫;二、在稽核補救措施面,制定行動計畫與識別弱點;三、在SOC面,透過代管服務啟動24/7的機制;四、在培訓與意識面,培養風險識別與警覺性。
到了第二階段,在上述4個面向繼續強化,包括建立風險管理策略,聚焦60項稽核改進以改善安全態勢,建立SOC運作概念、提升報告、資料分析能力,同時,也開發出五種專業網路安全與隱私培訓課程、四種警覺性演練、17項備忘錄,以及全組織的網路釣魚演練。
在這個階段中,HUD額外新增四個資料保護重點行動面向,包括:身分與憑證存取管理(ICAM)、資安持續監控(ISCM)、隱私,以及資料外洩防護(DLP)。
他也擬定下一階段重點,立足於上述八個面向,讓防護水準朝向更成熟的程度邁進。
特別的是,在這張網路安全路線圖設計背後,David Chow也透露計畫成功推動的訣竅。
他表示,有了這樣的路線圖的好處在於,不只是內部人員可以清楚看到願景與進展,更重要的是,網路安全路線圖也將提交美國國會,而國會是提供單位運作資金的關鍵,因此,必須讓他們明白單位存在資安防護不足的狀況,以及說明他們將如何解決這些問題,這點相當重要;關於此一路線圖的制定,他也特別聘請律師事務所的資安顧問提供協助,因為面對國會隨時可能的諮詢,有了專家的建議與驗證,更能增加計畫實施的可信度。
他強調,上述種種作為,有很多事項都呼應零信任概念,或是零信任架構,這也如同他先前所提,零信任架構是他使用的框架,而不是單一解決方案或特定行動的目標。
應以風險而非合規驅動為出發,並要重視掌握風險可視性
最後,對於今日的網路安全發展,他也給出更多建議。例如,在可善用的工具方面,有兩個最重要的資源,就是NIST CSF網路安全框架(5大要素:識別、防護、偵測、回應、復原),以及零信任架構,都是現今建構網路安全的重要基礎。
可視性亦是他多次強調的重點,才能根據風險來管理整體資安態勢,以便在有限的資源下去分配資源,並解決這些風險。
對於零信任架構的實施,他指出需從識別、裝置、網路、應用程式/工作流、資料這五大面向著手,並建議從XDR整合、雲端安全、DevSecOps,以及加密等解決方案來協助。同時,還需建立更集中的網路安全風險管理能力,除了上述XDR與雲端安全,也將涵蓋身分存取管控、多因素驗證(MFA)、資料分級與加密、端點安全等。
另外,他希望大家意識到,零信任是昂貴的,需要投入一定程度的資源,並且無法在短時間內就能做到,像是關鍵技術的導入,以他過去在美政府任職的經驗,光是採購過程就要18個月之久。但長遠來看,網路安全不只是成為提報董事會的一部份,企業在推動資安時,應以風險為驅動的角度出發,而非僅以合規性為驅動,如此一來才能打造出完整的網路風險管理能力,並且持續進化。
David Chow展示了他在美國住宅及城市發展部(HUD)時提出的網路安全路線圖,相當難得,而我們從這張路線圖可以看出幾個重點。
(一)首先要瞭解的是,他在制訂這樣的網路安全路線圖之前,他先藉助零信任架構來幫助自己打造組織的成熟度框架,以零信任架構來審視內部網路安全,以確定需要改進的領域。
(二)他以「人、流程、技術」的角度出發,設定4大目標:完善網路安全風險管理(流程)、開發與完善組織SOC(人、流程、技術)、根據資料所有者的要求保護資料(技術),以及建立網路安全文化(人)。
(三)從不同階段來看,在第一階段,他主要聚焦4個重點行動面向,包括在治理與風險管理、稽核補救、SOC,以及培訓與意識。到了第二階段才擴張為8個重點行動面向,包括前述4個,還加入身分與憑證存取管理(ICAM)、資安持續監控(ISCM)、隱私,以及資料外洩防護(DLP)。而且,這8個重點行動面向其實也對應著4大目標。
(四)若從單一重點行動面向來看,也突顯出循序往更高成熟度邁進的方式。例如,以SOC面向而言,之前第一階段是藉由代管服務達到24/7的SOC,第二階段是建立了SOC的營運概念,明確角色與責任,並強化報告內容與資料分析能力。到了下一邁進目標的第三階段,則聚焦於擴展網路威脅情資、威脅獵捕與攻擊面減少(ASR)方面的能力。(圖片來源/趨勢科技)
David Chow強調以零信任模型是組織建構資安基礎,同時說明零信任為基礎的網路架構,需從身分驗證、裝置、網路、應用程式與工作負載,以及資料等五大面向做起,當中也強調XDR的重要性是相當顯著。(圖片來源/趨勢科技)
熱門新聞
2024-11-18
2024-11-12
2024-11-20
2024-11-15
2024-11-15
2024-11-19