提升隱形防護力

關於資安防護的作法，過去我們多次談到能見度（Visibility）的重要性，強調知己知彼的意義，不僅要掌握外部威脅態勢，也要有自知之明，須了解與管理自身的弱點與攻擊面（Attack Surface），這是「明（Visible）」的策略，但其實我們也能應用「暗（Invisible）」的策略，這裡所指的並不是主動攻擊駭客與惡意軟體組織、以攻為守，而是善用「內隱」的作法推動資安。

這樣的觀念相當有意思，我們是最近從Google Cloud聽到的。在他們年度用戶大會Next臺灣媒體聚會上，臺灣技術副總林書平介紹今年新推出的資安解決方案之際，特別提到他們的隱形安全防護（Invisible Security）原則，包含技術、營運、人才、風險等四大面向，蘊含該公司對於資安的理念與展望，並以此突顯與其他業者的差異。

在技術層面上，他們強調資安應該要從附加（Bolt-on）轉為預設啟用，讓資安能夠嵌入、深入產品與服務當中，實現工程等級的改良，這部分可呼應許多資安界領袖所提倡的「始於安全設計（Security by Design）」；在營運方面上，資安應該要從手動轉為自動，將原本分散各處、片段化進行個別人工的處理，提升為自動化作業，甚至能夠實現自治（Autonomic）；在人才方面，資安應該從專門走向普及，降低進入門檻與使用困難性，讓更多人都能參與、投入；在風險方面，資安應該從責任的共享走向風險的共享，的確，在資安的領域，大家不應該只是在找出誰該為何事負責，而是充分體認彼此是命運共同體，強化合作。

面對前三個層面，整個資安界都有共識，堪稱是主流價值，至於風險的共享，其實也不難想像，但這無疑是超越了現行雲端服務業者長期對客戶傳達的資安觀念。事實上，雲端廠商過往總是強調雙方須共同承擔雲端安全的「責任」，這種說詞相當刺耳，然而，若是以共同承擔「風險」來溝通彼此須緊密合作的必要性，相信會贏得更多客戶的支持。

關於這樣的資安願景，Google Cloud最早應該是在去年7月舉辦的資安高峰會提出，在這一年多來，他們也陸續併購了Siemplify、Mandiant等知名的資安公司，推出多種解決方案，例如，網路入侵偵測系統Cloud IDS、資安維運服務Chronicle、開源軟體資安服務Assured Open Source Software、機密協同運作服務Confidential Space、軟體供應鏈安全服務Software Delivery Shield，同時，也持續更新零信任資安服務BeyondCorp Enterprise，以及防自動化詐欺服務reCAPTCHA Enterprise。

關於隱形防護的思考，我們除了可借鏡Google Cloud提出的這個觀念，透過改變功能設計、操作方式、人力資源，以及合作模式，過往在網路安全防護的應用上，我們也看到廠商陸續實作出一些技術，也能呼應所謂的隱形防護。

舉例來說，在企業級端點防護系統的市場，隨著網路威脅的日益猖獗，許多防毒軟體廠商開始將個人防火牆、主機型入侵防禦系統（HIPS），內建在他們的產品當中，有些會提供所謂的匿蹤模式（Stealth Mode），避免被惡意軟體發動的網路掃描找到，而使得個人電腦的IP位址與開放的通訊埠曝光。

另外，為了以系統化的方法來因應猖獗多年的進階持續性攻擊（APT），在資安領域當中，除了大家所熟知的沙箱檢測防護（Sandboxing）之外，也陸續出現蜜罐（Honeypot），以及欺敵（Deception）等誘捕系統，透過設下誘餌，及早捕捉駭客活動的蹤跡，廣義而言，這些也可說是一種隱形防護的策略。

綜合這些看法，企業思考資安防護對策時，無論是儲備外顯的防禦與應變機制，或是累積各種內隱的深層強化與厚植實力，這些都是必須一起考量的，才能充分因應各種挑戰。雖然攻擊來臨時，總是處於敵暗我明的狀態，讓人擔憂自己處於相對失利的位置，不過，若策略運用得宜，我們仍可讓攻擊方白費工夫，徒勞無功，進而知難而退。