成熟度框架與ZTA如何活用？前美政府官員在臺揭資安實務經驗

這幾年各界關注零信任網路安全，不只科技大廠重視，多個國家與企業都在提倡與導入這項戰略，但很多人不知道該如何著手。而在5月2023年臺灣資安大會上，趨勢科技技術策略長David Chow特地以此為題發表演講，他公開2018年在美國聯邦政府單位擔任資訊長的相關經驗，以及借助零信任架構（ZTA）概念來推動資安的實務作為，讓臺灣企業與政府組織可以借鑑。

11歲從臺灣移民到美國的David Chow，他累積了二十多年的美國聯邦政府工作資歷，從白宮基層實習生做起，後續曾到多個單位工作，像是能源部、交通部，之後到國家信用合作管理局（NCUA）擔任副資訊長與首席資安長長達七年，同時也在聯邦存款保險公司（FDIC）擔任顧問，並從2018年開始，擔任住宅及城市發展部（Housing and Urban Development，HUD）資訊長一職，同時，也肩負起網路安全工作的推動。David Chow表示，在美國政府要求實施零信任之前，他就已經借助零信任的概念來推動資安。

過去未重視網路安全防護，找出三大問題進行改善

David Chow公開了他在HUD推動資安的過程與經驗，其實相當艱辛，他遭遇了哪些重大挑戰？

簡單來說，HUD的職責是監管住宅，並為低收入家庭提供抵押貸款等任務，資訊長要負責IT技術方面的規畫與執行，一旦遭遇網路安全事件，也會被國會要求前去報告。

在2018年他上任之際，David Chow很快就發現許多問題：該單位並未重視網路安全防護。

例如，他問其團隊的第一個問題：是否導入網路全面可視性（Full Visibility）的解決方案，結果只得到「不確定」的答案，對於稽核或是因應網路安全能力的問題也回答含糊，不能馬上給予答覆。他表示，這在某種程度上來說，已顯現該單位對於網路安全並沒有真正的關注。此外，組織內僅有基本的身分與存取管理機制，且系統架構的管理非常分散，處於一個充滿技術債的環境。

甚至，其實這個資訊長一職在前任主管退休後，已空缺5年之久，不僅在執行網路安全方面缺乏連續性，而且，部門成員也都來自其他單位，其中一些人甚至沒有IT經驗。

上述這些狀況，都是他在2018年面臨到的問題。

活用零信任架構，視為資安成熟度框架與網路安全基礎

為因應政府要求，臺灣上市櫃公司有很多資安長上任，他們眼前的挑戰，與David Chow當時的狀況是類似的。

他如何應對？首先，他從稽核報告瞭解，單位在網路安全的資金投入是敬陪末座。每年4億美元IT預算中，僅約5%用於網路安全，其他單位投入的比例則是10%。

整體而言，他意識到3個重要問題，首先是，機構內本身缺乏專業能力、可視性，資安重要性長期被忽視，也缺乏必要的資金的計畫。因此，他先將整體網路安全預算提高20%，以便開始建立能力並推動。

在後續資安強化的作為，他指出可從人、流程與技術為出發，這是普遍資安專家會強調的重點，David Chow也不例外。

他認為，先要確保自身環境有可視性，隨時了解風險暴露情形，就像基於安全維運中心（SOC）的概念一般，而且，這些作為也需獲得團隊成員支持，因此，在招募正確能力的人員之前，他需要改變團隊中的個人思維，確保遵守網路安全政策，確保能夠解決持續存在的網路安全稽核問題，以及確保人們承擔責任，並透過相關培訓以改變整個環境的流程。雖然改變人的作為很難，但還是要推動。

技術同樣是關鍵，不僅內部IT環境的可視性需仰賴技術，有許多環節也仰賴各式技術。例如，他們為了發送驗證抵押貸款電子郵件的安全，導入了資料外洩防護（DLP）與加密相關的解決方案。

值得關注的是，David Chow當時就用零信任來推動資安，早於美國政府2022年正式宣布施行。由於過去零信任架構的概念仍不普遍，那時候他如何推動相關的業務？

David Chow表示，在一開始，他純粹只是將零信任架構作為一種溝通方式，以獲得必要的資源與預算，主要是利用這樣的概念，不只與利益相關者溝通，也要讓非資訊人員了解零信任的概念。

除了將零信任用於溝通，他還將零信任作為發展自身成熟度框架的一部分。例如，他用零信任架構來審視內部網路安全，以確定需要改進的領域，將其視為組織建構資安的基礎，因此當時他主要是將零信任視為一個框架來應用。

現於趨勢科技擔任技術策略長的David Chow表示，他過去擔任美國住宅及城市發展部（HUD）資訊長推動數位轉型與資安時，面臨著諸多挑戰，因此他以「人、流程、技術」的角度出發，以改進整體資安防護態勢。（圖片來源／趨勢科技）

提出組織網路安全路線圖，從八大面向採取行動

關於改善HUD網路安全態勢的具體目標與行動，David Chow首先說明了他在上任兩年時的戰略目標，包括：1.完善網路安全風險管理，2.開發與完善組織SOC，3.根據資料所有者的要求保護資料，4.建立網路安全文化。

而在這些目標之下，其實也就與「人、流程、技術」有重要的關聯，例如，與人有關的目標是第2、4點，與流程有關的是第1、2點，至於與技術有關的是第2、3點。

至於採取了那些具體行動？更是大家關注的焦點，David Chow展示了他在HUD推動網路安全現代化策略的路線圖，從中我們可以看到他是如何從無到有，一步步推動HUD的資安強化。

初期，他聚焦4個重點行動面向，分別是：一、在治理與風險管理面，建立基礎與風險管理計畫；二、在稽核補救措施面，制定行動計畫與識別弱點；三、在SOC面，透過代管服務啟動24/7的機制；四、在培訓與意識面，培養風險識別與警覺性。

到了第二階段，在上述4個面向繼續強化，包括建立風險管理策略，聚焦60項稽核改進以改善安全態勢，建立SOC運作概念、提升報告、資料分析能力，同時，也開發出五種專業網路安全與隱私培訓課程、四種警覺性演練、17項備忘錄，以及全組織的網路釣魚演練。

在這個階段中，HUD額外新增四個資料保護重點行動面向，包括：身分與憑證存取管理（ICAM）、資安持續監控（ISCM）、隱私，以及資料外洩防護（DLP）。

他也擬定下一階段重點，立足於上述八個面向，讓防護水準朝向更成熟的程度邁進。

特別的是，在這張網路安全路線圖設計背後，David Chow也透露計畫成功推動的訣竅。

他表示，有了這樣的路線圖的好處在於，不只是內部人員可以清楚看到願景與進展，更重要的是，網路安全路線圖也將提交美國國會，而國會是提供單位運作資金的關鍵，因此，必須讓他們明白單位存在資安防護不足的狀況，以及說明他們將如何解決這些問題，這點相當重要；關於此一路線圖的制定，他也特別聘請律師事務所的資安顧問提供協助，因為面對國會隨時可能的諮詢，有了專家的建議與驗證，更能增加計畫實施的可信度。

他強調，上述種種作為，有很多事項都呼應零信任概念，或是零信任架構，這也如同他先前所提，零信任架構是他使用的框架，而不是單一解決方案或特定行動的目標。

應以風險而非合規驅動為出發，並要重視掌握風險可視性

最後，對於今日的網路安全發展，他也給出更多建議。例如，在可善用的工具方面，有兩個最重要的資源，就是NIST CSF網路安全框架（5大要素：識別、防護、偵測、回應、復原），以及零信任架構，都是現今建構網路安全的重要基礎。

可視性亦是他多次強調的重點，才能根據風險來管理整體資安態勢，以便在有限的資源下去分配資源，並解決這些風險。

對於零信任架構的實施，他指出需從識別、裝置、網路、應用程式／工作流、資料這五大面向著手，並建議從XDR整合、雲端安全、DevSecOps，以及加密等解決方案來協助。同時，還需建立更集中的網路安全風險管理能力，除了上述XDR與雲端安全，也將涵蓋身分存取管控、多因素驗證（MFA）、資料分級與加密、端點安全等。

另外，他希望大家意識到，零信任是昂貴的，需要投入一定程度的資源，並且無法在短時間內就能做到，像是關鍵技術的導入，以他過去在美政府任職的經驗，光是採購過程就要18個月之久。但長遠來看，網路安全不只是成為提報董事會的一部份，企業在推動資安時，應以風險為驅動的角度出發，而非僅以合規性為驅動，如此一來才能打造出完整的網路風險管理能力，並且持續進化。

David Chow展示了他在美國住宅及城市發展部（HUD）時提出的網路安全路線圖，相當難得，而我們從這張路線圖可以看出幾個重點。

（一）首先要瞭解的是，他在制訂這樣的網路安全路線圖之前，他先藉助零信任架構來幫助自己打造組織的成熟度框架，以零信任架構來審視內部網路安全，以確定需要改進的領域。

（二）他以「人、流程、技術」的角度出發，設定4大目標：完善網路安全風險管理（流程）、開發與完善組織SOC（人、流程、技術）、根據資料所有者的要求保護資料（技術），以及建立網路安全文化（人）。

（三）從不同階段來看，在第一階段，他主要聚焦4個重點行動面向，包括在治理與風險管理、稽核補救、SOC，以及培訓與意識。到了第二階段才擴張為8個重點行動面向，包括前述4個，還加入身分與憑證存取管理（ICAM）、資安持續監控（ISCM）、隱私，以及資料外洩防護（DLP）。而且，這8個重點行動面向其實也對應著4大目標。

（四）若從單一重點行動面向來看，也突顯出循序往更高成熟度邁進的方式。例如，以SOC面向而言，之前第一階段是藉由代管服務達到24/7的SOC，第二階段是建立了SOC的營運概念，明確角色與責任，並強化報告內容與資料分析能力。到了下一邁進目標的第三階段，則聚焦於擴展網路威脅情資、威脅獵捕與攻擊面減少（ASR）方面的能力。（圖片來源／趨勢科技）

David Chow強調以零信任模型是組織建構資安基礎，同時說明零信任為基礎的網路架構，需從身分驗證、裝置、網路、應用程式與工作負載，以及資料等五大面向做起，當中也強調XDR的重要性是相當顯著。（圖片來源／趨勢科技）