關於資安防護的作法,過去我們多次談到能見度(Visibility)的重要性,強調知己知彼的意義,不僅要掌握外部威脅態勢,也要有自知之明,須了解與管理自身的弱點與攻擊面(Attack Surface),這是「明(Visible)」的策略,但其實我們也能應用「暗(Invisible)」的策略,這裡所指的並不是主動攻擊駭客與惡意軟體組織、以攻為守,而是善用「內隱」的作法推動資安。

這樣的觀念相當有意思,我們是最近從Google Cloud聽到的。在他們年度用戶大會Next臺灣媒體聚會上,臺灣技術副總林書平介紹今年新推出的資安解決方案之際,特別提到他們的隱形安全防護(Invisible Security)原則,包含技術、營運、人才、風險等四大面向,蘊含該公司對於資安的理念與展望,並以此突顯與其他業者的差異。

在技術層面上,他們強調資安應該要從附加(Bolt-on)轉為預設啟用,讓資安能夠嵌入、深入產品與服務當中,實現工程等級的改良,這部分可呼應許多資安界領袖所提倡的「始於安全設計(Security by Design)」;在營運方面上,資安應該要從手動轉為自動,將原本分散各處、片段化進行個別人工的處理,提升為自動化作業,甚至能夠實現自治(Autonomic);在人才方面,資安應該從專門走向普及,降低進入門檻與使用困難性,讓更多人都能參與、投入;在風險方面,資安應該從責任的共享走向風險的共享,的確,在資安的領域,大家不應該只是在找出誰該為何事負責,而是充分體認彼此是命運共同體,強化合作。

面對前三個層面,整個資安界都有共識,堪稱是主流價值,至於風險的共享,其實也不難想像,但這無疑是超越了現行雲端服務業者長期對客戶傳達的資安觀念。事實上,雲端廠商過往總是強調雙方須共同承擔雲端安全的「責任」,這種說詞相當刺耳,然而,若是以共同承擔「風險」來溝通彼此須緊密合作的必要性,相信會贏得更多客戶的支持。

關於這樣的資安願景,Google Cloud最早應該是在去年7月舉辦的資安高峰會提出,在這一年多來,他們也陸續併購了Siemplify、Mandiant等知名的資安公司,推出多種解決方案,例如,網路入侵偵測系統Cloud IDS、資安維運服務Chronicle、開源軟體資安服務Assured Open Source Software、機密協同運作服務Confidential Space、軟體供應鏈安全服務Software Delivery Shield,同時,也持續更新零信任資安服務BeyondCorp Enterprise,以及防自動化詐欺服務reCAPTCHA Enterprise。

關於隱形防護的思考,我們除了可借鏡Google Cloud提出的這個觀念,透過改變功能設計、操作方式、人力資源,以及合作模式,過往在網路安全防護的應用上,我們也看到廠商陸續實作出一些技術,也能呼應所謂的隱形防護。

舉例來說,在企業級端點防護系統的市場,隨著網路威脅的日益猖獗,許多防毒軟體廠商開始將個人防火牆、主機型入侵防禦系統(HIPS),內建在他們的產品當中,有些會提供所謂的匿蹤模式(Stealth Mode),避免被惡意軟體發動的網路掃描找到,而使得個人電腦的IP位址與開放的通訊埠曝光。

另外,為了以系統化的方法來因應猖獗多年的進階持續性攻擊(APT),在資安領域當中,除了大家所熟知的沙箱檢測防護(Sandboxing)之外,也陸續出現蜜罐(Honeypot),以及欺敵(Deception)等誘捕系統,透過設下誘餌,及早捕捉駭客活動的蹤跡,廣義而言,這些也可說是一種隱形防護的策略。

綜合這些看法,企業思考資安防護對策時,無論是儲備外顯的防禦與應變機制,或是累積各種內隱的深層強化與厚植實力,這些都是必須一起考量的,才能充分因應各種挑戰。雖然攻擊來臨時,總是處於敵暗我明的狀態,讓人擔憂自己處於相對失利的位置,不過,若策略運用得宜,我們仍可讓攻擊方白費工夫,徒勞無功,進而知難而退。

專欄作者

熱門新聞

Advertisement