駭客竊取使用者帳密,從外部登入企業網站或是服務平台,這樣的情形每天都在發生。不僅造成使用者個資外流,同時也導致企業重要資訊被竊取,更嚴重打擊服務平台的形象。
為了鼓勵臺灣資安業者結合產業需求進行場域實證,數位發展部數位產業署推動了「零信任資安場域實證獎勵計畫」,藉由此計畫,鼓勵具有零信任解決方案研發能力的資安廠商,聚焦於數位發展領域(如電商、數位內容、資訊服務等等)導入領域型資安解決方案,提升廠商的資安防禦能力,同時展現具市場價值及產業擴散效益之產品技術。
此獎勵計畫吸引了許多國內資安廠商報名參加,並將其資安解決方案確實投入相關產業的廠商,幫助本土企業資安升級,更能抵禦來自外部的不安全登入與攻擊。在這篇報導中,我們邀請廠商們來現身說法,其中資安廠商包括凌網科技、來毅數位科技、數聯資安,而導入的場域則是HyRead電子書平台、幣託集團與露天市集。
文章目錄
凌網科技運用零信任架構,強化HyRead電子書平台安全性
凌網科技除了是一家提供資訊安全解決方案的公司,旗下還有電子書服務品牌:HyRead。本次同時以資安解決方案研發廠商與數位發展領域兩個身分,參加「零信任資安場域實證獎勵計畫」。
凌網科技高承億副總經理說明:「HyRead 是凌網科技旗下電子書服務的品牌,與一般電子書平台不同的是,服務範圍不僅限於一般消費者,還有圖書館的讀者。HyRead 電子書平台與每個合作的圖書館介接認證讀者帳號,因此讀者可以直接使用圖書館證號及密碼登入 HyRead 電子書平台借書、看書;電子書店則提供自由的會員註冊登入機制,消費者可自行註冊登入在書店購買電子書或雜誌。」
這個機制雖然讓讀者更便利地隨時隨地登入 HyRead 以及圖書館,但也因為帳號密碼機制,造成資安隱憂。高承億副總經理接著說:「目前這些讀者都是透過帳號密碼登入電子書平台,有許多讀者甚至沒有改過密碼,這些都是資安的隱憂。甚至很多人都是同一套帳號密碼打天下,一旦某一組帳密被駭客竊取,用於其他網站跟平台的帳密也會一併淪陷。」
在使用者都沒改過密碼的情況下,很容易遭受駭客竊取,進而獲得使用者的敏感個資。這些個資很有可能因此外流,進一步造成更多詐騙案的發生。為了改善此情形,凌網科技電子書部門與資安部門共同研擬強化外部使用者登入安全機制,同時讓登入變得更簡單。
電子書平台導入零信任機制,強化資安且便利登入
在數位產業署的支持下,凌網科技將零信任架構中的 FIDO2 身分認證機制,導入於 HyRead 電子書平台,藉此防範駭客非法入侵。關於其機制,高承億副總經理解釋:「簡單來說就是結合生物特徵鑑別,幫助使用者更快速便利登入系統,同時免去填寫密碼的麻煩,也避免了密碼外流的可能性。」
但對於一個擁有 35 萬會員的大型電子書平台來說,要更動登入方式,是一項巨大挑戰。平台方更是擔心會不會因此導致使用者體驗不良,或是轉換陣痛期過長,使得會員流失。
「一開始大家對導入零信任的機制是陌生的,加上需要調整現有平台架構,最具挑戰性的是營運中的系統要做架構調整,而且專案時間緊急。我們都知道營運中系統最怕不穩定或是影響客戶使用體驗,所以 HyRead 營運團隊也花很多時間評估,與資安部門不斷討論架構調整可行性及方案。最終雙方有了共識,完成了第一階段 HyRead 電子書店零信任網路服務,內部行銷與客服人員也進行了教育訓練,上線推動現有 35 萬書店會員透過零信任生物辨識登入。」林柏村資深協理補充。
HyRead 服務一般消費者及圖書館讀者,當他們要使用 HyRead 平台時,往後只需透過生物辨識身分鑑別,免密碼登入,避免密碼在網路上傳輸,減少被駭客盜取的機會,安全的登入及驗證身分方式也能提升使用者對平台的信心。
而對 HyRead 服務的圖書館而言,HyRead 雲端服務平台的運作架構串接了上千個圖書館的登入驗證,凌網科技規劃了「共建共享的 HyWeb Zero Trust 凌網零信任雲服務」,在 HyRead 平台上建置零信任的安全架構,並配合改版 APP,將 HyRead 電子書雲端服務平台升級為零信任的安全防護架構,建立一個安全的生態體系。
第一階段 Hyread 電子書店已導入零信任身分鑑別,接下來凌網科技將持續與圖書館合作,整合零信任身分鑑別機制導入各個電子書圖書館,並優先以公共圖書館及大專院校圖書館進行導入。
不僅如此,凌網科技還規劃將在凌網推出的電子書閱讀器 Gaze 導入零信任設備鑑別,配合與資安院設備鑑別的驗證加乘,使得電子書平台的安全等級再提高。
深化 FIDO2 應用,凌網科技助金融產業強化資安
凌網科技除了本次獲數位產業署支持,大大提升電子書平台 HyRead 的安全性,在過去,也多次運用零信任架構中的 FIDO2 機制,協助企業強化資安。
高承億副總經理談到:「自 2019 年開始,我們已經針對金融業提供 FIDO 導入服務,例如將銀行的行動網銀 APP 與 FIDO 整合,提供使用者安全又快速的的免密碼登入應用。2023 年我們也將 FIDO 解決方案導入到國外的區塊鏈交易所,提高區塊鏈使用者認證的安全性。」
與金融業的合作經驗,讓凌網科技更加提倡零信任機制之於企業的益處,舉例來說,結合行動裝置或設備的生物特徵功能 (如臉部辨識或指紋辨識) 進行使用者身分確認,達到無密碼登入情境。使用者無須再記憶落落長又難記的密碼,提升使用者體驗。另外,結合 FIDO 標準,透過 PKI 技術提供訊息驗證,還可以確認設備的合法性。以金融業來說,可以透過此方法強化使用者的認證安全,降低偽冒風險。
最後,高承億副總經理與林柏村資深協理要感謝數位產業署及SECPAAS 的協助,讓凌網科技可以在政府的支持下,完成 HyRead 電子書平台導入零信任機制,並且在電子書場域進行了零信任的實作與驗證,這過程也讓他們得到許多寶貴的經驗。
高承億副總經理相信,資訊安全已然成為現今各產業的優先處理事項,而導入零信任的架構會是強化資訊安全重要的一環。他建議,企業可以在外部網站的登入機制中,整合零信任身分鑑別,除了可以強化對外服務的保護,也讓外部使用者得以選擇更安全快速的登入方式。
兩人更期許,未來希望持續與政府密切合作,將零信任推廣到更多的產業,為提升台灣產業資安韌性貢獻一份心力。
來毅數位科技為幣託集團強化身分鑑別,使加密貨幣交易更安全
幣託集團成立於 2014 年,主要業務是加密貨幣交易所、錢包、Web3 應用的公司。幣託打造區塊鏈加密貨幣應用產品,提供客戶方便、快速、安全的服務,用最簡單的方式讓區塊鏈進入每個人的日常生活。
然而,在推廣區塊鏈的同時,幣託也深刻了解到資安的重要性。幣託集團曹仲逵維運經理就說到:「我們的宗旨是讓客戶方便又快速體驗我們的服務,並同時兼具更高的安全性。身為加密貨幣業者,常常會面對不同資安挑戰,其中一個面向就是帳密安全、各系統間的多因子驗證支援性等問題。」
曹仲逵維運經理所提到的資安挑戰與問題,主要來自於企業給予員工相當大的設備使用自由,然而卻因此難以管控。同時間,外部使用者的帳密安全,要如何獲得最充足的保護,同時不影響使用者體驗,也是幣託集團想要努力優化的方向。
對此,與之合作強化資安能力的來毅數位科技張嘉顯技術長說明:「在傳統上我們可以看到各式各樣的驗證方法及整合的方式,然而在遠距離設備多元化的應用裡,防護的難度已經增加。所以我們必須透過零信任的認證權限控制以及記錄等特性,達成用戶端的存取路徑管控。此外,有些企業會直接購買定型化的商業防護軟體,或是自行開發防護系統,卻缺乏良好的統一驗證機制,這也需要進一步優化,提升資安強化等級。」
在數位產業署的支持下,來毅數位科技與幣託集團開啟了合作。曹仲逵維運經理說明:「我們希望引進資安零信任解決方案,對外主要保護客戶帳戶安全、資金安全及客戶資料,對內強化資訊安全防護,權限控管、資料防護、持續監控及記錄保存。」
深入了解需求,區塊鏈 APP 加入零信任機制更安全
雙方合作之初,還需要了解需求與目標,才能有效率地執行合作計畫。張嘉顯技術長說明:「在合作過程中最常見的挑戰就是如何導入零信任架構,所以我們透過前期的溝通了解彼此的架構,確實了解彼此的需求之後,進而開始顧問化的規劃服務,這裡面就包含了如何整合到消費者端的 APP 應用,以及同時顧及到內部的網路架構安全與人員的存取控制。」
曹仲逵維運經理補充:「我們的期許是,導入零信任架構後,客戶不再需要切換多個 APP,或需要繁瑣輸入密碼及各種安全驗證機制才能使用我們的服務。同時希望藉由此次導入零信任架構能強化整體企業資安等級,也是為日後 DID (Decentralized Identifier,去中心化身分體系) 打好基礎。」
在雙方密切的交流下,來毅數位科技充分明白幣託集團的需求,在引進資安零信任解決方案後,對外能保護客戶帳戶、資金及客戶資料安全;對內強化資訊安全防護、權限控管、資料防護、持續監控及記錄保存。
來毅數位科技的做法是:「我們在導入零信任架構後,用戶端只要透過簡單步驟,綁定零信任機制就能享用快速的身分驗證、設備驗證、免密碼登入功能;企業端則可以針對設備進行驗證,並執行權限控管,同時也能免密碼登入。我們提供員工一個自主操作的平台,以往這些需要向 IT 申請核可,如今可以隨時管理自己的身分與設備,更快速運用驗證機制通過核可。」
本次合作,幣託集團相當滿意成果,曹仲逵維運經理讚許:「這次與來毅數位科技合作導入零信任機制,同時提升了公司及產品服務的安全性,對客戶端保持原有效能之外同時提供快速又安全的服務;對內增加公司安全性機制及權限控管,讓資安落地使用,保護公司與客戶。」
持續強化資安,客戶也心安
對於幣託集團這樣提供區塊鏈服務的公司,用戶能否安心使用公司的系統進行交易,關乎到企業的營運與數位資產安全市占率與形象。本次幣託集團攜手來毅數位科技,針對交易平台與內部管理系統導入零信任架構,強化了資訊安全,同時也讓企業可信賴度大大提升。曹仲逵維運經理強調:「強化了資安,可以讓企業夥伴安心,讓客戶信任與放心將資產委託給我們管理,同時還可以減少財物不必要的損失,保護品牌信譽,吸引更多客戶加入與企業合作,增加企業競爭力。」
他接著說:「資訊安全是我們業務的核心。保護用戶的資產安全是首要任務,這也是用戶信任與企業永續的基石。其次,良好的資訊安全措施可以幫助我們避免潛在的金融損失和法律責任,這些損失和責任可能源於數據洩露或系統安全漏洞。此外,它還有助於我們遵守各種法規和標準,對於做全球生意的加密貨幣交易所來說越來越重要。最後,強大的安全架構為我們帶來了競爭優勢,因為它是決定客戶選擇交易平台的重要因素之一。」
曹仲逵維運經理最後感性地感謝數位產業署跟 SECPASS,他回想這一路過程,公部門從一開始就提供很多協助,除了找到合適的資安廠商來幫忙,在討論過程中也給予很多反饋與想法,同時解決資安預算上的問題,順利完成資安強化任務。
面對幣託對於本次合作如此高度滿意,張嘉顯技術長也相當欣慰:「我們也很感謝數位產業署跟 SECPASS促成本次合作,因為有這次的合作,讓我們更清楚了解網際網路類型公司自由度很高,設備很多樣,如何做到良好的管控是滿大的挑戰。希望本次合作也能開啟區塊鏈同業關注資安議題,大家一起強化資安,持續做好資安,才能讓產業愈來愈茁壯。」
張嘉顯技術長接著建議區塊鏈同業可以如何開始進行:「大家可以先小範圍導入零信任架構,例如先從 IT 部門開始,再慢慢向外擴大,從核心到外圍,一步步建立起資安高牆,避免遭受攻擊、竊取資料。同時也鼓勵大家可以利用雲端解決方案,減少內部系統管理負擔,這樣做不僅方便,同時還能大大省下資安預算。」
數聯資安與露天市集攜手,以零信任引領電商資安新時代
近年來隨著無線網路、智慧型手機與行動裝置的普及,以及這三年疫情的加乘效應,消費者的生活習慣和購買場域改變,網購普及的結果也讓網路的資訊安全備受重視, 過往國內自有品牌電商、電商平台在資安上也都持續投資及關注,結合今年度數位發展部數位產業署強力推動零信任架構的身分鑑別,無論是實體或虛擬的店家、品牌、平台,在衝刺業績的同時也都能做好資安工作,同時也強化消費者資安意識,使消費者能夠安心、安全的在網路上購物。
對此,數聯資安楊淑宏營運長就說到:「現今駭客攻擊手法多元,可能鎖定電商雲端上的破口竊取資料,也可能從使用者網頁登入過程中盜取帳號密碼。歸根究柢,電商網站可能沒做好資安防護,核心資料庫沒有嚴加防範,加上特權管理也不完整,才會讓駭客有機可乘。」
露天市集總經理曾薰儀也表達相同看法:「露天市集是 2006 年 PChome 跟 eBay 的合資公司,是一個開放性的交易市集,允許各類買家和賣家在此平台上針對商品進行媒合。在這麼開放且多元的交易環境,如何讓用戶安全、安心地使用我們平台的交易服務,並享受簡單、便利的使用者體驗,是露天市集非常重要的工作與課題。」
過去,露天市集強化資安的手段為 OTP 簡訊驗證,曾薰儀總經理表示,這個驗證方式採行了相當長的一段時間,雖然可以解決登入安全的問題,但並不是最方便的方法。而且時常有會員反映收不到簡訊而無法登入,或是因為時間延遲而無法順利登入等問題。
這時,剛好有了數位發展部數位產業署的「零信任資安場域實證獎勵計畫」,數聯資安以專業資安廠商的角色參與本獎勵計畫,並會同露天市集 (電子商務場域) 導入零信任實證,期望藉此強化露天市集的資安韌性,並優化使用者體驗。
以 FIDO 標準為基礎,導入更便利的 Passkeys
對於提升資訊安全,曾薰儀總經理相當有遠見,因此參與了數位產業署的「零信任資安場域實證獎勵計畫」。同時,對於本次系統轉換與變更,他很有信心的表示:「露天市集有 1700 萬個會員,我們也會擔心更改了登入方式,是否會增加會員麻煩。不過在與數聯資安溝通協調下,讓我們相當放心,且明白此次的變動,不僅可以提升資安,同時還能讓登入變得更加快速、便利。」
楊淑宏營運長接著補充:「我們在這次導入零信任架構過程中,採用 FIDO 標準為基礎,以及更安全便利的 Passkeys 密碼金鑰,這也是近期 Google、Apple、微軟各大廠紛紛導入的無密碼驗證方式。」
楊淑宏營運長所說的 Passkeys,可說是近期資安界相當火熱的議題,隨著 Google 於今年10月 起,將 Passkeys 作為 Google 帳戶的預設登入選項,象徵無密碼時代正式到來。楊淑宏營運長解釋:「我們相信,露天市集導入 Passkeys 將能帶來更便利的使用者體驗。因為根據 Google 官方公布的資訊,採用 Passkeys 登入方式比傳統密碼速度快上 40%。」
除了快速與便利,FIDO 標準採用了公開金鑰加密架構,提供點對點加密資料傳輸方式,以個人生物特徵作為帳號登入的身分鑑別,降低了使用者資料暴露外洩及遭受釣魚攻擊的風險,更能保護使用者隱私。同時,數聯資安結合了自家資安監控中心,協同露天市集進行持續性資安監控,以確保導入過程及導入後各項認證作業的安全。
針對導入成果,曾薰儀總經理相當滿意地表示:「使用 Passkeys以指紋或是臉部辨識進行驗證,作為露天市集下一階段會員登入的新服務模式,大大減少過去採用 OTP 驗證產生的障礙跟困擾。另一方面,我們也很感謝數位發展部數位產業署能夠有這樣的補助計畫,讓我們有機會參與,讓台灣的電商資安更健全。」
資安意識為企業能否推行資安強化政策的關鍵
資訊安全是電商平台每日都要面對的重要課題,對於資安強化與否,關鍵在於電商平台是否有相關意識,並採取積極作為。對此,曾薰儀總經理強調:「露天市集成立至今都是把資安作為首要工作項目之一,過往我們持續執行嚴格的資安政策,建立全方位的資安管理流程,確保會員數據的安全,並加強同仁資安意識;我們也定期進行資安演練,包含漏洞評估、滲透測試、DDoS 模擬,加強資安檢測防護能力;更重要的是我們與整個集團會定期做資安稽核,評估現有資安狀況與潛在的威脅。」
因為有此意識,才促成了露天市集與數聯資安的合作,強化了電商的資訊安全。
而針對諾大電商市場,數聯資安最後也給出了相關資安防護的建議,楊淑宏營運長說明:「我們強烈建議所有電商平台都要做風險評估、資產盤點與分類,並進行保護機制。同時也要定期做資安健檢、弱點掃描,最好能針對網頁做滲透測試、APP 標準檢測,避免駭客有機可乘。」
此外,楊淑宏營運長也建議:「電商平台應該要把有關客戶的個資進行最完整保護,這是電商的義務與責任。至於如何保護,我們建議要採行存取控制結合驗證;資料加密結合備份;Log 留存結合第三方監控,多管齊下,才能有效確保電商平台的資訊安全。」
最後,楊淑宏營運長特別感謝數位發展部數位產業署提供本次寶貴的場域實證機會,及感謝軟協與工研院協助本計畫的成果推廣。透過這次導入過程的經驗,成功協助露天市集導入零信任之身分鑑別機制,兼顧對於露天市集平台之安全性、便利性並提高用戶使用率及黏著度。希望藉由這次的成功經驗,鼓勵更多類似產業的業者採用此解決方案。
而露天市集曾薰儀總經理也有感而發表示:「在數位發展部數位產業署還有軟協、工研院的支持和推動下,我們很高興能夠成為全台灣第一個導入 FIDO 零信任架構的電商交易平台,為使用者建立第一道資安防線的電商交易平台。這對我們的用戶來說,這個每天都會用的服務,又更安全了一點。相信這個獎勵計畫持續推動的話,台灣電商交易環境會有更好的發展,也會促成更多交易順利完成。」
在產業界導入資安的過程中,由數位產業署支持的 SECPAAS 資安整合服務平台扮演協助推動的角色,為資安廠商找到適合的應用場域,也為需要資安的企業帶來適合的解決方案。想了解更多SECPAAS提供的服務與案例,可進入SECPAAS網站探索。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!