新型態資安威脅太多變 產業專家呼籲「零信任」

CYBERSEC 2023 台灣資安大會連續三天舉辦，今年以「Bring Security to」為主題，有鑑於駭客攻擊手法多變與無所不在，新型態資安威脅下，「零信任」(Zero Trust)成為當前企業導入資安架構的趨勢。

趨勢科技在CYBERSEC 2023台灣資安大會中，以美國政府網路資安實戰經驗為參考借鏡，強調推動零信任資安架構在全球已是大勢所趨。台灣金管會去年底推動金融資安行動方案2.0，要求銀行逐步落實零信任；美國政府更率先全球發布行政命令，要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫，並鼓勵私人企業跟進。

趨勢科技首席技術策略長David Chow表示，過去認為網路在被發現遭到入侵之前是安全的，然而以零信任為基礎的網路架構則要基於「永不信任、持續驗證」原則，認為任何個體與身分在獲得信任、並持續維持信任之前，皆不可信。他呼籲以「風險管理」取代「合規」思維，因過去多數企業選擇規避風險，以營運為主要考量，對於先進技術採用相當緩慢，資安經營以符合政府與法律規範為目標。不過現在多數企業已經意識到資訊安全對於利潤、技術和威脅層面將帶來更深遠的影響，轉而積極佈建零信任架構，同時將資安防護與風險管控的概念內化為經營策略的一部分，提高組織競爭力。

全球工業物聯網資安業者TXOne Networks（睿控網安）今年展出解決方案，智慧工廠、車廠、藥廠全球三大關鍵重點產業的工業物聯網(IIoT)場域威脅情勢，呼籲企業從零信任防禦與資產生命週期防護觀點出發，調整資安策略。TXOne表示，一般企業遭受勒索攻擊平均需要20天才能恢復正常運作，若發生在工業控制端則需要更多時間才能完全恢復，而資安事件所造成的直接與間接財損，實際金額也往往遠高於對外公布的數字，

根據Ponemon研究機構的調查，工控環境遭受攻擊平均損失金額約為300萬美元。特別是具備特殊關鍵技術的核心產業如智慧工廠、車廠、藥廠等，一旦受到危害，所造成的實質損害最高、衝擊也最大，因而加深了這些關鍵場域對資安需求的急迫性。