Category Uncategorized

網路安全零信任轉型受全球關注，近年臺灣政府已率先付諸行動，推動A級公務機關逐步導入，同時希望帶動本土商用解決方案的發展，讓國內資安產業能在零信任風潮下，擁有一席之地。而這也呼應總統蔡英文任內不斷提及的「資安即國安」戰略，促進臺灣資安產業自主研發能力。 回顧2022年7月，當時的行政院國家資通安全會報技術服務中心（現已納入國家資通安全研究院），首度揭露政府零信任架構網路安全戰略的規畫，說明政府零信任架構將分三大階段進行，第一年聚焦「身分鑑別」，第二年是「設備鑑別」，第三年是「信任推斷」，藉此順序，循序建立起零信任架構中決策引擎的3大核心機制，接下來，數位發展部部長唐鳳在11月公開說明這項計畫，展現政府推動的決心。 轉眼一年過去，如今，我們看到臺灣零信任推動有了更多具體的發展，例如，第一階段身分鑑別驗證，有多家廠商投入，以及相關共同供應契約發布。 同時，我國政府推行強化無密碼登入的態勢，也在持續發酵，自從2019年內政部打造Taiwan FidO臺灣行動身分識別，2021年金管會與金融業及相關單位，共同成立「金融行動身分識別聯盟」（金融FIDO），之後數位發展部在2022年成立，現今這方面的推動情形，更是有著朝向產業擴張的態勢。 顯然，無論網路安全的零信任轉型，以及解決傳統密碼登入安全問題，我國在2023年都有著實質的進展。 領先國際腳步，臺灣從決策引擎驗證做起 近年來，各界幾乎都在推廣零信任架構的網路安全策略。最重要原因，就是隨著APT攻擊更加猖獗，以及企業網路環境的改變，傳統網路安全策略作法聚焦於邊界防護，屢屢遭受不同形式的突破，而且越來越常發生。 於是，經過多年演進的零信任網路安全策略，如今成為主要的因應之道，並廣受認可。其終極目標，就是要大幅降低企業資料外洩災情的發生，以及減少橫向移動攻擊的影響。 自從2020年8月，美國國家標準暨技術研究院（NIST）公布SP 800-207標準文件，幾年以來，我們看到國際間已出現許多具體行動，但臺灣能否重視並跟上這股潮流，成為我們持續密切關注的焦點。 例如，2021年5月，美國拜登總統開始下令，在美國聯邦政府網路安全現代化工程中，祭出導入零信任架構的網路安全策略，兩個月後，美國NIST旗下國家網路安全卓越中心（NCCoE）也開始行動，挑選出當地18家資安科技業者，來幫助設計與演示實施零信任架構的各種方法，如今更是增至24家以上。 最近兩三年，我們看到更多國際科技大廠積極行動支持與響應號召，一方面他們提出自家零信任架構策略，一方面說明自家產品如何朝零信任架構設計，以及這些產品會對應到整個零信任架構的特定環節。 而臺灣本身在2023年有何最新進展？ 首先，在政府零信任架構的推動上，根據行政法人國家資通安全研究院資安院（以下簡稱資安院）最新公布資訊，在第一階段的「身分鑑別」方案功能符合性驗證，通過的廠商方案有明顯增加。去年8月，只有2家廠商提供的方案通過驗證，經過這一年下來，已增加到11個方案。 在此當中，前8家均為本土廠商，提供了自家的產品方案，包括：全景軟體、安碁（與歐生全合作）、臺灣網路認證、來毅數位科技、偉康科技、中華資安國際、凌網科技、中華電信。 後續則有外商產品通過驗證，包括：奧登資訊提供OKTA的方案，台灣微軟提供自家方案，以及數聯資安提供Cloudflare的方案。 目前，我們也得知安碁資訊正改以OpenText（Micro Focus去年被併入該公司）的方案，向資安院申請驗證。 因此，單從身分鑑別驗證的現況進展，我們可觀察三個重點： 首先，這些方案將會成為日後政府機關導入的重要參考依據； 第二，政府希望帶動本土商用解決方案發展，但目前出現新變化，因為通過的第9個方案開始出現外商產品。 第三，儘管第二階段的「設備鑑別」驗證已開始啟動，不過目前「身分鑑別」的功能驗證仍在進行。 今年政府採購新增零信任方案項目 特別的是，政府零信任架構的推動不僅止於此，近期我們詢問相關廠商時，了解到另一面向的進展。 例如，在2023年2月，數位產業署軟體採購辦公室展開行動，他們在「112年第三次電腦軟體共同供應契約採購－資通安全服務」標案發布新的組別，名為「零信任網路架構導入及維護服務」。這意味著，政府已經將零信任架構相關納入共同供應契約。 簡單而言，除各單位獨立公開招標，共同供應契約是各級公家機關查詢各式標案或提供採購的平臺，因此，在此替零信任設立獨立組別，具有重大意義。 我們實際檢視該項目的共同供應契約，已有多家廠商參與投標，例如：全景軟體、偉康科技、數聯資安、安碁資訊、中華資安國際、凌網科技，還有自由系統、智域國際、華電聯網、新加坡商網達先進科技、漢昕科技等。 以偉康科技、全景軟體為例，主要提供自家身分鑑別方面產品，凌網提供自家與臺灣網路認證的身分鑑別產品；也有廠商提供多品牌、多類型資安產品，如華電連網提供Darktrace、來毅數位科技、VMware、Palo Alto Networks、Fortinet、F5、CyberArk、Cisco、微軟等廠牌的多項產品，漢昕科技提供高達40多家不同類型廠商產品。 當然，在這波零信任架構轉型之下，不只是政府機關採取行動，金融領域也在鼓勵之列。在2022年12月底，金融監督管理委員會（金管會）正式發表金融資安行動方案2.0，當中一項內容，就是關於這方面的推行，希望金融業能參考資安院的政府零信任架構，建構新世代的網路安全策略。 數位發展部的政策同樣重視零信任，因為部長唐鳳公布年度施政重要目標時，特別強調2023年就是要以推動零信任架構為主要目標。 儘管資安界提倡零信任架構的網路安全策略已持續幾年，至今仍有不少人對此毫無概念。我們認為，現階段最大的轉變與意義在於，隨著政府公開喊出「零信任」的旗幟，並已有實際動作，將能夠讓我國能有更多產業都關注、重視這方面議題，並且知道很多企業、產業都在往這方向推進。 臺灣無密碼登入有望今年爆發，推向金融與更多產業 除了政府零信任架構推動從「身分鑑別」開始，關於FIDO技術的應用，也開始朝向產業擴展。 基本上，資安院在政府零信任架構的決策引擎設計主要考量，採用FIDO技術的無密碼雙因子方式達到身分鑑別。 另一方面，關於我國政府在FIDO技術的應用，前幾年就已經開始採取這方面的行動。 在2019年10月，內政部資訊中心規畫Taiwan FidO臺灣行動身分識別（簡稱TW…

2023/7/17 在經歷了2020年新冠病毒疫情之後，全球企業對於遠距工作的需求大增，遠端存取機制的建置幾乎已經成為所有企業都需要有的標準配備或運作備案；加上原有的內部工作系統及外部廠商與人員的登入，頻繁的帳號存取已經成為一個讓企業處於危險臨界的資安破口，也提升駭客竊取帳號入侵企業的機會，再加上各種系統的帳號密碼繁多，企業員工常因便宜行事而簡化密碼設定，將多套系統取相同密碼以方便登入，卻因此讓內部系統登入曝露在更大的風險之中。也因此，針對帳號安全機制的建置與管理，同時整合進企業營運流程並將其優化，便成為一個有效率的科技製造企業所面臨的首要任務。 針對企業帳號存取安全的需求，Keypasco Multi-Factor Authentication(MFA)是一套十分有效的解決方案。這套由創泓科技代理、星擊科技經銷的純軟體式MFA，是由來毅數位科技的瑞典與台灣技術團隊共同研發、擁有多項國際身分認證相關專利、並且全球已有超過1000萬使用者使用的多因素身分認證解決方案。它具備包含設備特徵值、地理位置、近場認證、時間管控、PKI Sign等認證因子，以及雙通道架構、智慧風險管理引擎等認證安全機制，是目前市場上最全面、最嚴謹的網路身分認證系統；同時它也已通過ISO27001資訊安全管理國際標準認證，可進行零信任部署及支援無密碼登入，也可以同時解決包括內部員工與外部廠商等各種登入者的身分識別問題，另外它還通過FIDO2與FIDO UAF認證，具備支援FIDO部署的能力，直接將企業身分認證機制作最先進的導入，一次解決帳號登入的安全性與便利性問題。「Keypasco MFA設計上以使用者為導向，具備許多專利的身分認證技術，同時也有完整的技術與服務支援，無論操作與維護對企業來說都十分簡單有效」來毅數位科技表示。 而在導入方案與整合運用方面，因為Keypasco MFA具備支援現在市場上大部分商用軟體的能力，可以快速串接各種應用軟體，譬如VPN、ERP、RDP、CRM、EIP、O365、Windows Logon等等。而經銷商星擊科技在優化製造業企業營運流程及串接IT與OT軟硬體系統的過程中，觀察到許多客戶的帳戶管理常常成為駭客操控的手法，故將Keypasco MFA整合於星擊科技「企業IT資安整合管理解決方案」中，除了將這些應用軟體的登入納入保護外，還可以針對企業內部因資安作為而設的定期密碼稽核中，須定期更換不重複密碼而造成員工使用上種種不便的問題，利用無密碼驗證登入的方式徹底解決，星擊科技表示：「我們在為客戶整合資訊科技和營運科技的全面解決方案中，除了兼顧企業營運效率與流程優化之外，同時也會強化企業資安的防護管理，透過多因素身分認證機制，讓客戶在一個安全無虞的企業環境下，完成他每日被賦予的關鍵任務，使企業能夠達到營運不中斷，創造績效最大化」。有效提升身份資訊安全管理的強度，確保達到資訊的機密性與完整性，才是導入企業IT資安整合解決方案最重要的目的。 科技製造業產業變化快速、技術更新頻繁、惡意威脅日增，必須同時解決內部與外部需求與威脅，才能在企業成長的道路上持續前進。星擊科技這次經由代理商創泓科技整合Keypasco多因素身分認證解決方案，就是為了讓科技製造企業能夠有更安全與更有效率的運作環境。在現今帳號竊取事件層出不窮、防不勝防的資安現狀下，儘速部署零信任MFA絕對是科技製造業的當務之急，因為唯有建立起一套安全且值得信賴的企業營運系統，才能讓企業從容應對各種變化，進而強化體質，並轉化成企業成長的重要能量。 媒體聯絡人：Chris Wang (Mail: chris.wang@lydsec.com)

上個月初，行政院數位發展部部長唐鳳在接受中央社專訪時指出，政府已限制公部門不能下載與使用有危害國家資通安全疑慮的軟硬體，並強調，面對各種可能的資安威脅，最好採取「零信任」的方式來因應。由此可知，「零信任」的安全性架構將會成為無論政府或民間、在網路安全防護機制下的一種準則。相較於民間企業多數是以自身功能需求而建立的零信任架構，較難形成統一規格；對於政府機關來說，統一驗證功能對各級政府與單位在建置零信任環境的需求下便成為重要的一環，能讓各級承辦單位與人員具有建置與驗收這項新功能的標準。也因此，前身為技服中心的行政院數位發展部國家資通安全研究院（簡稱資安院，以下同）訂定了一套零信任網路身分鑑別功能符合性驗證，並開放廠商進行驗證，讓國內具有零信任網路身分鑑別能力的廠商，可以藉由這套驗證來確認自身產品是否符合政府對於零信任環境的需求與規範。而來毅數位科技的「Keypasco多因素身分認證解決方案」在2022年正式通過了這項驗證，同時也成功導入中央政府機關，成為實際運行的零信任多因素身分認證系統。 零信任概念在2010年被提出之後，十多年來持續演進發展、不斷變化，美國國家標準與技術局（National Institute of Standards and Technology，簡稱 NIST）和 Forrester、IDC、ESG 等研究機構，都對零信任框架的基本元素提出了他們的定義。而資安院的零信任驗證，也參考了NIST的零信任架構，並同時結合向上集中之防護需求，採取資源門戶之部署方式（Resource Portal-Based Deployment），其中包含了身分鑑別、設備鑑別及信任推斷等3大核心機制。資安院在本階段開放的是身分鑑別功能驗證，來毅數位科技在通過之後，未來也將持續進行另外兩個項目的驗證，以通過政府的零信任網路架構驗證，達成建置完整的零信任網路環境能力。 「零信任」可以說是近來頗受重視的資安話題，但許多人即使知道零信任是什麼，卻也很難有一個清楚的輪廓並真正了解零信任架構的運作或部署模式。來毅數位科技這次參與資安院的零信任網路身分鑑別功能符合性驗證，已經經由建置的經驗整理出了一套可以符合無論政府機關或企業組織的零信任身分認證部署模式，在通過資安院驗證並且導入中央政府機關實際使用後，也已經證明了這套部署模式的可行性，在面對企業客戶的零信任網路環境需求時，來毅數位科技已經可以完整建構出符合安全需求以及建置技術的國家級零信任身分認證解決方案，可以協助企業用戶在短時間內建置部署零信任網路架構，這是來毅數位科技參與這次驗證的另一項重要收穫。來毅數位科技在身分認證領域已有超過30年的經驗，並且研發出具備多項國際專利技術的Keypasco多因素身分認證解決方案，在MFA領域上，已經位於技術的最前沿，也因此，Keypasco的銷售包含了美國、歐洲、亞洲等多國客戶，累積超過1000萬的使用者，是一套成熟可靠的身分驗證系統。而在資安環境快速變化與應變時間縮短的雙重挑戰下，來毅數位科技的研發與快速解決問題的能力也將會是其立足資安市場最有力的武器。

《臺灣資安市場地圖》BETA17版，囊括目前熱門的33種資安產品與服務，以及240家廠商，日後將持續更新資訊，以呈現臺灣資安市場完整面貌，歡迎與我們交流討論。

[台灣物聯網產業技術協會] 發佈日期：2019/10/01 為加速國內資安廠商交流與國際合作，在經濟部工業局支持下，資策會徵選12家優秀臺灣資安業者，參加10/1-10/3舉辦之2019新加坡資安週展示活動，透過臺灣資安展示專區之整體品牌形象設計，形塑臺灣資安產品形象，以助資安產業進軍東南亞及國際市場。 2019 新加坡資安週展示預定於10/1-10/3假Suntec Singapore Convention & Exhibition Centre舉辦，今年主題為「Partnerships for Trust and Confidence」，強調將透由國際及區域合作，強化推動建立信賴與安全的資安環境。 資策會在新加坡資安週展設立的「臺灣資安解決方案展示區」，今年共有一休資訊、互聯安睿、玄力科技、安華聯網、行動智慧、杜浦數位、迅捷系統、來毅數位、雲想科技、新夥伴科技、擎願科技、關楗等12家台灣資安廠商參展，並設有贊助廠商專屬展區，兩家贊助廠商分別為:專長於高效能大數據蒐集及人工智慧分析技術的新夥伴科技；以及專長於原始碼掃描、弱點掃描、滲透測試、資安顧問及教育訓練服務等資安專業服務的安華聯網科技。 安華聯網科技公司研發的連網設備資安檢測產品HERCULES SecDevice，於今(2019)年榮獲Info Security Products Guide舉辦的全球卓越獎(Global Excellence Awards)「IoT安全」與「工控安全」兩類創新產品獎肯定；新夥伴科技公司採用多項巨量資料與AI創新開發技術所生產的N-Reporter及N-Cloud產品，可以執行Syslog與Flow間的關聯性分析，將數據與事件內容結合，讓IT管理者掌握下轄網路的使用細節。 另外，互聯安睿的iSecMaster互聯網資安產品、玄力科技的資料庫資安解決方案、一休資訊的Finika及Uila網路資安管理平台工具、行動智慧的ISAI跨系統整合及資安防護行動數據平台、關楗的KX906智慧資安token硬體、迅捷資訊的InstantCheck及 InstantQoS資安管理方案、來毅數位的Keypasco網路身分認證解決方案、杜浦數位的ThreatVision及ThrearSoner資安防護平台、雲想科技的SelfieSign影像電子簽章解決方案、擎願科技的EMMMDM行動裝置與服務資安管理方案，也受到與會參觀者的好評。 負責規劃及執行此次SICW臺灣資安展區的資策會國際處表示，新加坡資安週展會年度吸引全球超過八千名資安領域重要決策人士參與，是國際上資安產業重要舞台，本次出國參展整合國內12家資安業者自主研發的解決方案，成功呈現臺灣資安產業與環境的形象。未來資策會將持續協助臺灣資安業者進軍國際市場，擴大臺灣資安產業利基，並透過橋接國際資安新創體系，扶植資安新創投入相關技術研發，補強今後發展需要的人才、資金缺口，為臺灣資安產業建立一個永續發展的產業生態環境，打造出舉世有口皆碑的臺灣資安品牌。