標籤: 零信任

零信任資安模型與 DevOps 整合的 5 大元素

趨勢科技 TrendMicro

看看零信任 (Zero Trust) 資安模型如何與您的 DevOps 流程整合而不影響您應用程式開發的靈活性與速度。

「零信任」(Zero Trust) 並非新的概念,它早已存在十年以上,最早是由 Forrester 在 2010 年率先提出。自此之後,零信任便被視為一種完美的網路資安方法。然而 DevOps 講究的是靈活性和速度,那麼要怎樣實施零信任方法才不會影響開發時程?

如果實施得當,零信任方法有助於讓資安在不影響開發時程與品質的情況下與 DevOps 流程整合,使應用程式能夠達到法規遵循的要求。這套網路資安方法的卓越性,從美國拜登政府簽署行政命令要求所有聯邦機構採用零信任資安方法即可見一斑。

資安界近來因 Log4Shell 漏洞攻擊事件而體會到採用零信任資安方法的重要,這類攻擊突顯出當企業資產不受控管、或不必要地暴露在外時所衍生的風險,因為駭客的攻擊絕大多數都是經由已通過認證的管道。本文探討零信任對於開發安全的應用程式有多重要,以及如何實施這套方法才不會影響開發者的作業流程。

繼續閱讀

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

趨勢科技 TrendMicro

趨勢科技做了一份全球問卷調查,訪問了 2,300 多位 IT 資安決策者,希望藉此了解如何提供一套全方位的網路資安平台來為 SecOps 團隊提供最佳的協助和支援,讓您以更少的資源將資安做得更好。

54% IT 資安決策者表示:「已經被警示通知所淹沒」,是時候採取全方位網路資安平台了!

資安威脅的數量正不斷快速增加,企業的受攻擊面也因為加速邁向雲端而持續擴大,資安領導人必須敏銳地知道該如何有效管理網路資安風險。由於缺少適當的資安工具來全面掌握資安的可視性,SecOps 團隊感覺上似乎有點招架不住快速演變的威脅。如欲了解資安工具不足所帶來的不良影響,以及為何資安領導人應該採取全方位網路資安平台的方法,請參閱我們的全球調查「處於劣勢的資安營運」(Security Operations on the Backfoot)。

繼續閱讀

零信任與 XDR 如何相輔相成?

趨勢科技 TrendMicro

隨著零信任 (Zero Trust) 方法逐漸獲得重視,越來越多的企業機構也開始希望將這套方法應用在自己的資安策略上。看看 XDR 與零信任如何相輔相成並改善您的資安狀況。

how-zero-trust-and-xdr-work-together

零信任 (Zero Trust) 正逐漸變成一個經常聽到的術語,但這其中仍有許多問題有待解答。例如:如何將它應用到您現有的基礎架構?這會不會讓原本就負擔沉重的資安團隊工作更繁重?零信任方法的具體效益為何?我們在一份報告當中回答了這些以及其他問題: 到底什麼是零信任?(What is Zero Trust? [Really])

邁向零信任之路


很重要必須記住的一點是,零信任是一套哲學方法,並非安裝了某套產品一切就能搞定。不過,採用可支援零信任基本要素 (掌握狀態、持續評估、假設已經遭到入侵) 的資安工具,您確實可以改善整體的資安狀況。下圖摘要列出有助於達成零信任基本要素的一些工具:

繼續閱讀

零信任( Zero Trust)是什麼 ?

趨勢科技 TrendMicro

所謂的「零信任」(Zero Trust,簡稱 ZT) 是一種網路資安的架構和目標,它的假設前提是:任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任。零信任網路資安策略看待網路的方式與傳統的資安觀念截然不同,傳統的觀念認為網路在被發現遭到入侵之前是安全的。

🔻本文重點預覽:

  • 邊界之外的資安
  • 零信任資安模型
  • 零信任標準
  • 零信任觀念的混淆
  • 改用零信任架構
  • 零信任原則
  • 踏上零信任之路

邊界之外的資安


在過去十年左右的時間裡,企業已經變得越來越數位化。現在,他們紛紛擁抱雲端架構、支援更多的遠距上班模式,並且在轉型的過程中導入了各種X即服務型態 (as-a-service) 的解決方案。為此,資安團隊也擴大了網路防護的規模,而且通常會將網路細分成多個較小的區域來提升安全。

但不幸的是,這樣的策略反而為駭客製造了更多機會。當駭客取得了使用者的登入資訊時,他們就能在網路內部四處遊走,並且一邊散播勒索病毒、一邊取得更高的系統權限。

多重認證 (MFA) 雖然可提升登入憑證的安全性,但也只不過是增加了一道額外的認證。駭客一旦登入,就能持續對系統進行存取,除非他們自己登出,或者系統將他們登出。

各種新的工作方式,包括:使用個人自備裝置 (BYOD)、遠距上班、雲端架構等等,都會帶來新的資安漏洞。但即使擁有更新、更強的網路資安防護,能夠提升企業網路邊界的可視性,但過了邊界之外就無法掌握。

繼續閱讀

什麼是零信任? IoT 與零信任 (Zero Trust) 不相容嗎?正好相反

趨勢科技 TrendMicro

基於許多原因,IoT 一直是資安上的頭痛問題。那麼如何讓 IoT 成為零信任資安架構的一環呢?

基於許多原因,IoT 一直是資安上的頭痛問題。本質上,這些裝置本來就不能信任,因為它們通常無法安裝資安軟體,而且在設計之初也大多未考量到資安。還有,它們在網路上的存在感不高,因為看起來不像 IT 設備。之前,個人自備裝置 (BYOD) 也曾面臨類似的問題。不過,許多 BYOD 在外觀和運作上都很像企業 IT 設備,但 IoT 卻是一種截然不同且更難防護的設備。傳統的資安模型在面對 IoT 和 BYOD 時顯然力不從心。傳統的舊式架構擴充能力有限,所以才會讓一些新式的攻擊有機可乘,並且輕易地隨著 IT 向外拓展而移動。隨著越來越多 IT 和資安開始轉變成軟體定義的型態,零信任 (Zero Trust,簡稱 ZT) 被視為一種根本的解決之道,解決了資安上令企業困擾已久的問題。

乍看之下,ZT 與 IoT 似乎不相容,但是,這些本質上不能信任、所以也不安全的 IoT 裝置,卻是為何零信任架構對企業非常重要的最完美範例。

那麼如何讓 IoT 成為零信任資安架構的一環呢?

繼續閱讀