原本應該於5月17日到19日舉行的2022臺灣資安大會,今年因為5月初出現COVID-19確診病例暴增,因而延期至9月20日到22日,關於這場年度資安大活動的宗旨,因為9月18日花東地區發生6.8級大地震,臺灣資安大會主席暨iThome總編輯吳其勳在開幕典禮時,先向救災人員致謝,後續談到資安人員就是數位世界的救災人員,肩負的職責不只是保護電腦系統與網路,阻擋駭客與惡意軟體攻擊,同時也是守護家園、守護這個我們賴以為生的世界。

不過,隨著資安威脅持續進化,不論企業與國家有多麼強大,都難以憑藉一己之力去抵抗,唯有團結眾人之力、強化協同合作,才能構築更強健的防禦體系,他期勉大家各自扮演好自己的角色,壯大資安生態圈,因為,每個人都是這個世界的守護者。

為了表示對資安的重視,在活動首日開幕時,總統蔡英文率領多位政府資安高層參加,包含國安會秘書長顧立雄、行政院副院長沈榮津、國安會諮詢委員李漢銘、數位發展部長唐鳳、國家通訊傳播委員會主任委員陳耀祥,總統也期許大家攜手努力,將臺灣打造成為堅韌、安全、可信賴的智慧國家。

大會第二天上午,副總統賴清德蒞臨現場,參觀產、官、學、研界展示,瞭解各廠商與單位資安防護及自主研發能量的成果。這天一早,數位發展部部長唐鳳也首度在臺灣資安大會發表主題演講,她以單位內部落實最小權限的經驗為例,強調資安要有良好的風險管理,每個人須隨時意識到自己有可能是破口、成為風險,而這正是數位發展部強調全民數位韌性的「全民」意涵。

在今年臺灣資安大會上,涵蓋議題相當廣泛,以技術而言,包括:5G、雲端、工控、密碼學、人工智慧、供應鏈、勒索軟體、電動與自駕車,以及紅隊、藍隊;以產業與企業而言,有金融業、製造業、上市櫃、資安治理,綜合來看,零信任(Zero Trust)仍然是許多資安業界專家最普遍談到的概念,當然,應用到不同技術與業務應用領域時,所需要關注的部分也會有一些差異。

不過,或許是經歷過COVID-19疫情兩年多的洗禮,今年大家對於零信任概念都提出更深刻而直接的闡釋。例如,奧義智慧科技共同創辦人叢培侃在大會首日主題演講提到,我們看待資安的方式已由傳統的「信任」、關注從外部攻入(Outside in)的威脅,轉為「假設自己被入侵」,攻擊態勢變成由內而外(Inside Out)。的確!將「內部無法避免被滲透」視為預設的防禦角度,更有助於確保安全性,進一步避免各種信任死角成為攻擊的可乘之機。

而在大會第二天ExtraHop亞太區系統工程副總裁朱孟穎的主題演講,也提到類似論點。關於如何避免資安事件衍生為嚴重洩漏機敏資料的事故,他表示,首先,我們應該要有侵入後(Post-Compromise)的心態,傳統仰賴防火牆與入侵防禦系統總是著重在保護與預防的角度,然而,重點已不在是否可能遭到入侵,而是何時發生(It’s not if, but when),因為,無論導入了多麼優異的資安產品,用戶本身時常是提升資安防護的瓶頸,所以關鍵是一旦出現小型的侵入活動,能否及時、快速偵測,使其不要繼續擴散,避免後續演變成大量資料竊取、外露的狀況,而這個態度也是務實的,因為對於企業與組織對於防護需求的規畫,會有更切合實際的對應。

在零信任資安論壇中,安永諮詢服務企業資安架構總監謝佳龍提到「假設入侵(Assume Breach)」,這也是理解零信任概念的最佳寫照之一,因為在這樣的觀點之下,所有的存取都是有風險的,每次都需經過驗證才能確保其可信。

 

 

專欄作者

熱門新聞

Advertisement