無論什麼產業別,企業內部都會有許多各式各樣的機敏資料需要好好被保護。或許很多企業會認為,公司已經在每一台電腦安裝防毒軟體,防火牆也已經設定得相當嚴格,應該沒問題。但現今駭客手段多元,總會有辦法從不同管道入侵公司內部電腦,偷走公司的機敏資料。甚至偷走了,企業還渾然不知。
為了鼓勵臺灣資安業者結合產業需求進行場域實證,數位發展部數位產業署推動了「零信任資安場域實證獎勵計畫」,藉由此計畫,鼓勵具有零信任解決方案研發能力的資安廠商,為不同產業導入該領域適合的資安解決方案,提升廠商的資安防禦能力,同時展現具市場價值及產業擴散效益之產品技術。
本次獎勵計畫吸引了許多國內資安廠商報名參加,並將其資安解決方案確實投入相關產業的廠商,幫助本土企業資安升級,更能防止企業內部的機敏資料遭竊。在這篇報導中,我們邀請廠商們來現身說法,其中資安廠商包括全景軟體、奧義智慧、偉康科技、UPAS台眾電腦,而導入的場域則涵蓋了半導體晶圓製造商、電子產品機殼製造廠商、電商平台。
文章目錄
全景軟體攜手電子產品機殼製造商導入零信任架構,阻絕駭客攻擊
全景軟體吳彥儒產品經理觀察到,零信任議題在這一年來,於資安產業漸漸受到重視,雖然目前推動較積極的單位還是以公部門居多,或是軍方、金融客戶、以及高科技產業、電信公司等等。但許多公司已經投入資源進行了解與評估。
吳彥儒產品經理表示:「由於零信任是個概念性的議題,每個單位想要保護的目標或多或少也有些差異。目前主流的零信任應用還是在網頁閘道器的設置,以減少因為層出不窮的零日漏洞問題所造成的破口,其次是OS登入的零信任加強。」
全景軟體今年參與了數位產業署輔導的零信任資安場域實證獎勵計畫,以資安身分認證廠商角色,與電子產品機殼製造大廠合作,導入零信任機制。
吳彥儒產品經理表示:「該公司應用系統除了內部使用外,還需要對外開放給上下游供應商使用,因此該系統經常有被攻擊的狀況,而且傳統防火牆無法有效阻擋。另外該應用系統由於需要 24 小時不間斷使用,無法經常更新,容易遭遇零日漏洞攻擊。」
全景軟體另一位受訪者柳永祥資深協理補充:「除了一般我們常見的 IT 情境之外,其實我們也遇到客戶在產線上面的困難。一般產線的生產通常是 3 班制或 4/2 輪,每一台產線上面的電腦都會經手好幾個值班人員,通常每個值班人員都會用相同的帳號以及密碼登入系統,這種方式非常容易造成資安的風險及漏洞。」
導入零信任架構並強化身分鑑別機制
全景軟體偕同製造業大廠找出可優化之處後,接著導入零信任架構,防止場域遭受駭客攻擊。吳彥儒產品經理解釋:「在這次的計畫中,我們導入 IDExpert 零信任網路系統解決方案,在合作公司內部架設零信任存取閘道、決策控制器以及零信任身分鑑別系統 IDExpert。同時結合 FIDO身分認證機制,阻絕駭客惡意攻擊,並能快速修補漏洞,增加攻擊預警機制,提前察覺駭客攻擊事件。」
此外,除了導入零信任網路架構的網頁應用系統外,也同時在合作公司的 VPN 及重要主機 OS 登入的安全性上,加強導入多因子無密碼認證的強認證機制,以提供更完整的縱向和橫向保護。
關於這次合作,兩位受訪者都感謝數位產業署及 SECPAAS 的大力協助,讓全景軟體得以順利為製造業建立零信任的機制,共同解決產業所面臨的網路安全挑戰。柳永祥資深協理也進一步說道:「期待政府在推動零信任網路架構的同時,也能進一步注入資源,幫助企業因預算有限的情況下,將資安納入日常營運的一環,促進國內廠商發展零信任的網路資安產業鏈。」
最後,吳彥儒產品經理建議所有公司,零信任是個持續精進的過程,必須依據該企業現有的安全防護,進行 Gap Analysis,找出最需要補強的弱點。尤其對外服務優先於對內服務,由安全身分認證入門,再逐步擴充到裝置識別、網路流量及記錄分析等進階的判斷因子,打造更堅固的零信任網路。
奧義智慧科技替知名電商豎立資安高牆,徹底強化資安能力
奧義智慧科技於 2017 年成立,成立之初,就期以透過人工智慧的協助,解決企業的資安痛點。叢培侃共同創辦人舉例:「像是端點的 AI 鑑識,以及跨電腦的根因分析、關聯調查,甚至在2023年導入的大語言模型,讓系統可以自動解釋告警訊息。」透過人工智慧的運用,奧義智慧科技幫助了許多企業,強化了資安層級,而其中一個就是台灣知名電商。
叢培侃說明:「以所有產業別來說,電商是存有相當多民眾個資的產業之一。也因為如此,電商容易遭受駭客攻擊,竊取民眾個資,並利用這些個資進行不法用途。」叢培侃更強調,攻擊不僅只來自外部,也可能來自內部,尤其已知的信任管道容易被利用。「未來將不再有固定(explicit) 的信任關係,這也是零信任的重點之一。另外,身分識別成為攻擊者主要標的,身分帳號的分析也顯得格外重要。」
叢培侃也舉微軟發生的兩個受攻擊案例,凸顯出零信任的重要性。「首先是 2021 年 NOBELIUM 攻擊微軟的事件中,NOBELIUM 威脅團隊利用社交工程取得一組被認證的身分,利用此身分一路從託管服務供應商、雲端服務供應商、Azure 打到本地機台。在此案例中,攻擊者並沒有利用太多漏洞,而是利用過高的權限,從合法的使用者憑證進行一系列的攻擊。而在今年七月,另一隻威脅團隊 Storm-0558 則利用一連串系統的 Bug (甚至難以被稱為漏洞),造成憑證外洩。」
奧義智慧科技參與數位產業署的零信任資安實證場域獎勵計畫,擔任協助企業導入資安解決方案的角色,協助客戶導入零信任架構。透過零信任架構,幫助電商平台的系統更加安全。
叢培侃解釋:「我們利用 Xcockpit 資安威脅管理平台,協助客戶掌握風險、抵禦攻擊。此系統包含端點風險資訊及 Identity 風險資訊。前者除了作為現在企業基本的防禦機制 EDR (端點偵測與回應) 以外,也將這些端點資訊轉為零信任所需要的風險因子。而帳號攻擊路徑則可以透過我們 Identity 風險資訊來做管理。最後,這些資訊可整合作為信任推斷的依據,以建構動態、且以風險因子為主的零信任架構機制。除此之外,我們也有企業風險曝險分析,這項解決方案可從駭客的角度,分析企業有哪些資訊暴露在外,並分析其風險,可作為端點風險資訊及 Identity 風險資訊以外,另一個可作為 PIP (Policy Information Point) 的資訊。」
帳密登入審核更嚴謹,加入稽核紀錄有跡可循
傳統利用帳號密碼登入企業的系統,存在著諸多風險。奧義智慧科技將風險因子納入考量,以之作為登入機制的基礎。叢培侃舉例說明:「我們協助該電商的做法,可以檢查使用者利用什麼裝置登入,以及驗證使用者是否有合法的 Token,才能登入平台。如此一來,不僅可以讓駭客更難以透過帳號密碼侵入系統平台,還能提供稽核紀錄,供內部人員查閱。也就是說,我們除了要防止外部駭客入侵,同時也要確保內部能隨時掌握、稽核狀況。」
許多產業逐步引進零信任架構,奧義智慧科技觀察到,這些單位首先將動態的裝置健康度納入風險計算因子,在各端點佈建監控機制,蒐集端點各項資訊。接著整合包含裝置健康度在內的各項資訊,盤點相關帳號認證資訊,建立更完善的 policy 機制,並動態進行稽核。最後則是引進人工智慧或機器學習,建立一個分類器,分析登入情境是否異常。
奧義智慧科技所導入的零信任架構主要分成三大部份:存取匝道、決策控制器、信任推斷模組。以本次導入的經驗為例,叢培侃接著說明:「我們會透過設備鑑別,確認使用者所使用的設備是否安全。所以在設備鑑別的部份,除了會分析使用者的設備是否合法,同時還會檢查是否有感染病毒,或是最近一週有沒有被駭客攻擊的記錄。」
有了這套架構,使用者再也不用透過傳統的帳號密碼登入資訊系統,可以透過已註冊過的裝置,經過系統辨識為合法裝置,且無任何風險,成功進行登入。
最後,叢培侃十分感謝數位產業署推動本次計畫,他提及這個計畫達到了令人出乎意料的效果:「透過本計畫,本土的零信任供應鏈廠商得以整合,像是本次導入的過程中,我們就與本土做身分識別的廠商全景軟體合作,藉此完整達到身分鑑別、設備鑑別以及信推斷三步驟。透過合作,能把各自專業領域和技術優勢整合起來,實現資源共享,降低成本及提高效率,形成更全面且具競爭力的解決方案,增加本土廠商的市場競爭力。」同時,他也感謝數位產業署、中華民國資訊軟體協會、工研院的大力協助與支持,使本計畫得以成功。奧義智慧科技期許,保有眾多外部人員 (消費者) 個資的產業,能藉由零信任導入,開始在產品設計或服務流程中,納入安全設計,而不再以「補強」的方式做個資保護。
偉康科技助知名電商資安大升級,無密碼登入更便利又安全
偉康科技運用零信任架構,搭配大數據、人工智慧與雲端技術,幫助許多企業從資安威脅的陰影下,重見光明,獲得全方位的保護。偉康科技策略長黃閔綉說道:「為協助客戶更完善預防資安威脅,偉康科技已取得國際FIDO標準4張證照與政府零信任網路身分鑑別等認證,曾助蘋果供應鏈廠商導入符合國際規格的零信任架構,快速升級資安並通過原廠稽核。」
黃閔綉策略長發現,許多產業都對資安議題日漸關注,如金融產業,開始紛紛導入無密碼驗證機制,便利使用者登入之餘,也能提升安全性;高科技製造業則因為面對稽核,必須強化資安,防止機敏資料外洩,同時獲得上下游客戶與廠商的信任。
這次偉康科技與知名電商的合作,也是因為該電商重視資安的必要性,同時希望提升使用者體驗,在強化資安的同時,也能讓終端使用者在最短時間內上手。
「該電商的期許,也是偉康致力的方向。在這次案例中,有相當多登入的流程需要被保護,我們透過導入偉康的數位身分 SaaS 服務,協助整體資安優化,同時降低維運成本,還能讓使用者在操作上更加便利且安全。」黃閔綉策略長說明。
導入零信任架構符合國際 FIDO 規格,無密碼驗證更便利安全
偉康科技在這次與知名電商平台的合作,協助進行「無密碼驗證機制」,包含從 Windows 的 Login、VPN 還有串接其他第三方應用程式,透過無密碼的機制,強化資安等級。
談及導入過程的挑戰,黃閔綉策略長說道:「我們一開始遇到最大的挑戰是要導入多套系統,且不同目標系統都有不同登入方式,必須要在一定時間內完成導入。最後在雙方共同努力下順利完成,讓客戶應用服務達到無密碼登入,使用者只要進行裝置 (如手機) 綁定,即可利用生物辨識驗證身分進行登入,比以往輸入帳號、密碼的登入方式更快速也更安全。」這樣的作法不僅提高了登入速度,還能夠避免駭客利用釣魚郵件或是 OTP 登入漏洞進行攻擊。
黃閔綉策略長強調:「偉康的 OETH 雲端身分認證解決方案,採用了國際 FIDO 規格標準,並取得多項國內外認證,是台灣目前在推廣 FIDO 無密碼驗證技術的領導廠商之一。透過公私鑰原理,將公鑰存放在伺服器方,使用者的生物特徵與私鑰,只會存在自身的裝置中。也因此,整個過程中,駭客不再能輕易取得使用者的帳號密碼,也無法一次針對目標攻擊,必須個別突破,進而強化了使用者的登入安全性。而對使用者來說,也不必定期因資安需求更換密碼。」
偉康科技與知名電商的合作,讓電商平台的登入更加便利與安全,黃閔綉策略長也特別提到,有了這一次成功的經驗,期許未來將零信任機制更廣泛地運用、落地,守護更多電商產業。
最後,黃閔綉策略長特別要感謝數位發展部數位產業署、軟協,以及工研院等眾多支援團隊,給予偉康科技相當多協助。「這次的合作,讓我們看見偉康科技的產品可以有更深、更廣的應用。同時我們也藉由本次合作勉勵自我,期許讓台灣的資安軟體被世界看見,進而走向國際。」
UPAS協助環球晶圓,導入零信任設備鑑別及合規監控系統,消除內網安全漏洞
高科技產業廠房作業現場的設備是否足夠安全?連上內網的設備是否都經過驗證?諸如此類的資安議題,近來在工控領域受到重視。
UPAS台眾電腦透過數位產業署輔導的年零信任資安場域實證獎勵計畫與環球晶圓合作,並進一步針對環球晶圓所面對的資安問題與疑慮,逐一提出解方。
鄭閔聰業務經理說道:「我們與環球晶圓合作的過程中,了解到他們主要有幾項疑慮。首先是在無法掌握資產的情況下,需耗費大量人力進行資產盤點工作。衍生的問題除了無法判斷網路環境內的設備是否為企業內部設備,也無法確實安裝 Agent 在每台設備上,或即使安裝了,也無法確定未安裝 Agent 的設備;再者,場域無法收集設備 OS、防毒、安裝軟體等資訊,當使用者自行於設備安裝軟體時,管理人員沒有辦法即時得知安裝軟體是否具備風險。且已安裝軟體發現新漏洞時,也無法即時得知及針對設備進行修補。」
鄭閔聰業務經理也強調,就算作業場域的設備有安裝防毒軟體,仍可能會有漏洞。「必須要定期更新病毒碼,並針對沒有被認證的設備、軟體限制進入內網。」
以作業軟體來說,鄭閔聰業務經理發現現今許多工控場域對於安裝軟體的檢查做得不夠確實,例如應裝而未裝的軟體,操作人員無從得知;對於禁用的軟體,照常使用;或是有版權的軟體沒有付費購買,使得企業遭遇侵權疑慮的狀況等等。
導入守護設備安全的零信任設備鑑別方案
對於環球晶圓碰到的資安風險,台眾電腦透過首創的無痛式旁聽架構導入,不需更動現有網路設備及架構,完全融入客戶的網路架構,並避免造成網路流量負擔。此外,系統還會進行網路封包監聽,得知網路環境設備的上下線資訊,藉此判斷設備是否合法。針對外來設備,可經由管理人員判斷後加入白名單。也有相對應的技術防止偽冒或仿冒設備進入內網,以達到掌握網路環境的目的。
鄭閔聰業務經理補充:「簡單來說就是掌握資產現狀、阻斷外來設備、偽冒設備接入,以確保連網安全。」
除此之外,台眾電腦還會幫助企業掌握設備OS、防毒、安裝軟體的現況,以及透過整合 NVD 弱點資料庫,確認環境中設備安裝軟體是否具備漏洞,讓管理人員可以第一時間掌握環境內潛在的資安風險。當掌握了資安風險之後,能藉由阻斷網路的方式防止問題擴散。管理人員能透過 NVD 資料庫的建議執行指令或檔案派送,迅速消除內網安全漏洞。
最後,鄭閔聰業務經理強調:「透過這次數位產業署的獎勵計畫及 SECPAAS 的協助,讓我們更加釐清產品未來在零信任領域中前進的方向及扮演的角色。而在產品行銷的部分,包含推廣及擴展國際市場,也透過這個計畫能讓我們前進的更遠。透過 SECPAAS 的精湛指導,能為台灣廠商打開雙贏的大門。不僅有效提升場域的資訊安全,更重要的是,增加業者對於零信任的認知。這並不僅僅是一次技術的導入,更是對未來的策略性投資。」
資安最大的漏洞在於人,這是企業必須為自己內部的網路與設備安全導入零信任機制的重要原因。在產業界導入資安的過程中,由數位產業署支持的 SECPAAS 資安整合服務平台扮演協助推動的角色,為資安廠商找到適合的應用場域,也為需要資安的企業帶來適合的解決方案。想了解更多SECPAAS提供的服務與案例,可進入SECPAAS網站探索。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!