Openfind產品部門經理賴濬倩說明,Mail2000 V8 SP2的設計超越了傳統的網路邊界防護概念,實施了3A安全框架,也就是認證(Authentication)、授權(Authorization)、記錄(Accounting)。新增的裝置紀錄,可讓使用者隨時查看登入系統的裝置名稱、登入日期、登入地點、IP位址等資訊,藉此更快速地查看自己的帳號是否有被盜用的疑慮。
登入機制則整合FIDO生物辨識,除了符合國家資通安全研究院(簡稱資安院)推動的零信任架構(ZTA)中,第一階段的身分鑑別核心機制,使用者亦可藉由FIDO,以Windows Hello、Apple Passkey等熟悉的認證方式來登入Mail2000系統,兼具認證安全與便利性。 此外,Openfind長期深耕公部門、教育單位、銀行等不同產業,深知資安與便利可說是天秤兩端,經常需要IT人員依據用戶體驗拿捏平衡。因此Mail2000 V8 SP2也改善了既有的多因素認證的方式,以點擊數字選項取代輸入6位數驗證碼,只需一個按鍵就能驗證身分,有助於IT人員推廣多因素認證登入機制。
零信任概念已在各產業發酵
現代化的威脅手法多變且較以往更複雜,促使企業開始尋求更有效的資安控管策略。零信任架構提供了一種新的思維,不再依賴傳統的邊界防禦安全機制,而是改用更嚴格的身分驗證和授權機制,確保只有正確的用戶、設備才能順利取用企業的資源。
至於企業的認同度,賴濬倩觀察,台灣不同產業對於零信任架構的接受度各異。目前,政府機關對於零信任的認知較為深入,並且在尋找和導入相關解決方案方面表現得更加積極。例如資安院不僅積極推動資通安全責任等級為A級的公務機關優先導入零信任架構,並且參考美國國家標準暨技術研究院(NIST)發布的SP 800-207標準文件的零信任框架,制定包含身分鑑別、設備鑑別、信任推斷的核心機制,逐步落實零信任架構。她進一步說明,相較之下,金融業的客戶目前則尚在初步了解階段,為未來法規要求先作準備。
實際上,對於企業來說,零信任架構的導入具有深遠的影響。透過精細的存取控管與嚴謹的驗證及授權機制,企業能夠保障只有經過授權的用戶和設備得以接觸敏感資料,藉此降低可能衍生的資安風險。賴濬倩發現,向來對資安有較高意識的單位,例如中央研究院,由於過往的資安事件或掌握高度敏感資料需求,確實認同傳統的身分認證和內外網機制已不適合應用模式,因此即便無合規要求,亦積極地尋求導入零信任架構。例如運用現有的一次性密碼(OTP)與多因素驗證機制,甚至是整合手機上標配的生物辨識技術,落實零信任原則,達到身分鑑別的目的。
整合第三方技術確保合規性要求
政府在2023年由資安院制定提供零信任架構機制導入建議,已給予明確的指引,讓優先導入的單位有所依循,並期待這些案例能成為其他機關的參考典範。另一方面,金融監督管理委員會在2022年底發表的「金融資安行動方案2.0」中,不僅延續了先前版本的四大策略,還增設了14項精進措施,其中亦包括鼓勵金融機構採納零信任架構,以加強核心資料的保護。由此不難看出零信任架構模式的趨勢。
面對零信任趨勢,Openfind研發提供的全系列產品與服務,亦須打破網路邊界防護的思維,基於認證、授權、記錄的發展框架,主動整合合規的第三方技術,與掌握機敏資料的企業或組織落實零信任架構的發展路徑。賴濬倩說明,針對認證的部分,Openfind在系統登入環節已整合FIDO標準的生物辨識機制,並與全景軟體IDExpert與MOTP等產品相互整合,以達到身分鑑別,同時可確保操作順暢度。
在授權方面,則是調整產品的權限配置,可達到最小授權範圍的存取控管。最後是保留記錄,在Openfind全產品中皆有妥善的使用者行為及管理機制,可清楚留下行為軌跡。這些記錄亦將進一步與零信任架構供應商進行整合,有助於輔助信任推斷階段的落實。
在地研發團隊扮演資安長最佳後盾
在資安院參考NIST零信任架構所採取的資源門戶部署方式中,Openfind提供的應用系統屬於「機關資通系統(RP)」角色,主因是電子郵件至今仍為各單位對外最正式的溝通管道,使得Openfind需要與身分鑑別系統,例如全景軟體,進行串接,以便從該系統獲得認證聲明,進而讓用戶能夠安全地登入郵件系統並執行操作。
如今政府積極推動應用上雲,既有採用了Openfind雲端服務的政府單位,勢必須著手規畫引進零信任架構,不再只靠區隔內外網來處理安全疑慮,才有能力確保資安風險問題。未來當法規逐步擴散到更多機關單位,也可有充足時間因應。
除了政府單位,賴濬倩認為,下一個較關注零信任議題的當屬製造業。她進一步說明,製造業除了產線頻傳遭到勒索軟體感染,驅動高階管理層開始重視資安問題,更重要的是金管會規範上市櫃公司應分級設置資訊安全人力,並推動設置資安長(CISO),以提升企業整體資安防護能力。
Openfind(網擎資訊)產品部門經理賴濬倩指出,面對零信任趨勢,Openfind研發提供的全系列產品與服務,亦須快速跟進,基於認證、授權、記錄發展框架,主動整合合規的第三方技術,與掌握機敏資料的企業或組織落實零信任架構。
資安長除了具備資安相關知識,更重要的任務是扮演監督、稽核角色,須全面盤點潛在的風險脈絡,以便精準地落實資安管控,並進行跨部門、跨組織的溝通協調。賴濬倩強調,Openfind郵件系統中內建提供稽核報表、異常風險帳號等功能,讓管理者可快速了解風險狀態,進而提出控管計畫。
「Openfind最大優勢即是擁有在地研發團隊,不論是操作介面、報表格式、法規遵循等方面,都已累積長足經驗,可成為資安長最佳後盾,協助處理資安難題。」賴濬倩說。