趨勢科技警示企業推動零信任資安三大阻礙

資安為風險管理思維成企業落實資安策略推手


【2023年5月8日,台北訊】新型態資安威脅情勢使得全球更多企業、組織與政府開始思考如何適當且有效地將零信任資安架構融入營運之中。全球網路資安解決方案領導廠商趨勢科技(東京證券交易所股票代碼:4704) 在今年共同主辦的CYBERSEC 2023台灣資安大會中,以美國政府走在前端的網路資安實戰經驗為參考借鏡,說明如何建構務實彈性的零信任架構以落實資安政策,助台灣企業與政府組織在數位轉型過程中更妥善的掌握風險可視性,實踐資安治理縱深防禦。

趨勢科技首席技術策略長David Chow以美國政府網路資安實戰經驗為參考借鏡,說明如何建構務實彈性的零信任架構。

「無法持續投入」、「資金不足」、「忽視資安重要性」是現今企業推動資安的三大阻礙


在網路環境複雜且邊界不明的情況下,推動零信任(Zero Trust)資安架構在全球已是大勢所趨。台灣金管會去年底推動金融資安行動方案2.0,要求銀行逐步落實零信任;美國政府更率先全球發布行政命令,要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫,並鼓勵私人企業跟進。然而,在企業導入的過程中,經營團隊卻容易面臨無法持續投入、資金不足、甚至從根本上忽略了資安重要性的情況,使得相關部署陷入窒礙難行的困境。

繼續閱讀

為何 63% 的企業都在捨棄 VPN 而改用零信任網路存取 (ZTNA)-安全的遠距工作與遠端存取 – SASE 系列(2)

探討為何企業都在捨棄 VPN 而改用零信任網路存取 (Zero Trust Network Access ,ZTNA) 來讓任何裝置從任何地方存取網路資源。
另請參閱本系列第 1 篇: 企業領導人的 SASE 指南

現代化企業需要現代化的網路防護與存取控管解決方案,以提供集中控管與全方位可視性,涵蓋混合環境與遠端環境。

在過去,企業通常會將網路連線全部匯集到資料中心,因為這是所有企業應用程式所在之處。但現在,您大部分的應用程式都在雲端,或是分散在好幾個雲端。

所以,當企業採用的是混合雲或多重雲端環境時,針對傳統網路架構設計的 VPN 再也無法提供企業所要的防護。不僅如此,VPN 還會增加不必要的複雜性、衝擊效能、造成資源浪費,更何況還有昂貴的維護成本。

本文將繼續深入探討 SASE 議題,看看為何 63% 的企業都在捨棄 VPN 而改用零信任網路存取 (Zero Trust Network Access,簡稱 ZTNA) 來降低受攻擊面風險,而這也是整體零信任策略的一環。

何謂零信任網路存取 (ZTNA)?

繼續閱讀

如何將零信任資安模型套用到工業控制系統 (ICS)?

看看如何運用零信任策略來保護 ICS 環境,進而提升資安並降低風險。


零信任策略透過一些原則與優良的實務來提升 IT 基礎架構的安全與韌性,然而零信任是否可以為營運技術 (OT) 做些什麼?其實還蠻多的,只不過有些限制。

本部落格發表過一篇名為「IoT 與零信任 (Zero Trust) 不相容嗎?正好相反」的文章,開啟了各種有關哪些零信任元素可能適用於 OT 環境的探討。

儘管零信任架構的原則無法「一對一」對應到 ICS 基礎架構,但零信任有許多可實質提升 OT 基礎架構韌性及安全性的地方。本文將列出零信任的主要原則,接著再看看它們如何對應至 Purdue 模型。

何謂零信任?

繼續閱讀

零信任資安模型與 DevOps 整合的 5 大元素

看看零信任 (Zero Trust) 資安模型如何與您的 DevOps 流程整合而不影響您應用程式開發的靈活性與速度。

「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?

如果實施得當,零信任方法有助於讓資安在不影響開發時程與品質的情況下與 DevOps 流程整合,使應用程式能夠達到法規遵循的要求。這套網路資安方法的卓越性,從美國拜登政府簽署行政命令要求所有聯邦機構採用零信任資安方法即可見一斑。

資安界近來因 Log4Shell 漏洞攻擊事件而體會到採用零信任資安方法的重要,這類攻擊突顯出當企業資產不受控管、或不必要地暴露在外時所衍生的風險,因為駭客的攻擊絕大多數都是經由已通過認證的管道。本文探討零信任對於開發安全的應用程式有多重要,以及如何實施這套方法才不會影響開發者的作業流程。

繼續閱讀

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

趨勢科技做了一份全球問卷調查,訪問了 2,300 多位 IT 資安決策者,希望藉此了解如何提供一套全方位的網路資安平台來為 SecOps 團隊提供最佳的協助和支援,讓您以更少的資源將資安做得更好。

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

資安威脅的數量正不斷快速增加,企業的受攻擊面也因為加速邁向雲端而持續擴大,資安領導人必須敏銳地知道該如何有效管理網路資安風險。由於缺少適當的資安工具來全面掌握資安的可視性,SecOps 團隊感覺上似乎有點招架不住快速演變的威脅。如欲了解資安工具不足所帶來的不良影響,以及為何資安領導人應該採取全方位網路資安平台的方法,請參閱我們的全球調查「處於劣勢的資安營運」(Security Operations on the Backfoot)。

繼續閱讀