IMA 7月份最新消息

【會員投稿】淺論零信任機密(Zero Trust Confidential, ZTC)管理

2024-07-04

林紹胤;致理科技大學;教授

陳立武;艾旺科技公司;董事長

台灣身處世界半導體先進製程的重鎮,已成為駭客組織有高度興趣區域,各界機敏資料被兜售於暗網履見不鮮,後疫情時代零信任(Zero Trust)漸成資安主流,零信任(Zero Trust)強調防護重點在直接保護資料/應用存取等機密資產。企業機密機密檔案與機敏系統主機/資料庫之資訊(登入憑證為鎖鑰),拙見零信任機密(ZTC)觀點有別於常見零信任架構,以強化終端安全及評分建立存取防線,零信任機密(ZTC)著眼於直接保護機密檔案與機敏系統登入憑證,將企業寶貴資源用於刀口上,並拾遺不足。

實務上機密檔案與機敏系統登入憑證防護的痛點:「不是不知道,而是做不好!」,雖國外有專用管理產品,然因價格高昂企業往往望之卻步,實務上仍多以人工流程搭配簡易工具進行管理,難解的習題舉例如下:

 1.機密檔案防護企業機密檔案多儲存於電腦或網路磁碟,採電子郵件附檔、FTP/SFTP伺服器等檔案交換媒介,當登入憑證(帳號/密碼)遭竊,檔案都將被一覽無遺,如每一檔案均採互異、複雜長密碼加密,因持有檔案動輒成百上千而致上萬,逐一鑑別、進行加密並妥善保管密碼,實務上不僅不切實際,且難以執行,再者仍無法限制惡意複製備份,若檔案遭惡意刪除亦將無法復原,同時複製及刪除軌跡難以留存,造成營業秘密法舉證之困難。

2.機敏系統登入憑證(帳號/密碼)防護:80%的駭客潛伏入侵必須取得帳號/密碼,以擁有成百上千資訊設備企業為例,要落實資安規範「每半年實施帳號清查、每季定期變更密碼、落實僅知原則」,須作到「每半年清查並明確成千上萬帳號的保管人員,每季須定期變更成千上萬密碼,且成千上萬密碼均不得相同才得符合僅知原則」,以國內相對精簡的資訊人員編制,以人工流程管理,想當然爾在實務上無法確實執行,且衍生人力負擔無疑雪上加霜。

台灣由於身處資安攻防熱區及政策支持,已陸續出現足與國外大廠共同競爭之相關產品,且國內研發產品一般兼俱節約非必要人力耗費特色,已逐漸為企業接受,為佐證本觀點可落實性,舉例說明如下:

1.機密檔案防護產品

例舉國內知名產品重要特性:

·        密碼學不可破解(Unbreakable Encryption):檔案加密採公開金鑰密碼學(Public-key Cryptography)/非對稱式密碼學(Asymmetric Cryptography)。

·        歷程不可竄改(Unmodifiable History):檔案傳輸歷程採區塊鏈(Blockchain)技術儲存,眾所周知區塊鏈為比特幣(Bitcoin)核心技術,俱不可竄改及不可刪除特性。

·        遭竊無法還原(Unusable Swag):檔案儲存採星際檔案系統(IPFS)碎片化存儲,俱卓越檔案碎片分持特性,即便大部份檔案碎片遭惡意竊取,仍無法還原完整檔案。

·        易於導入使用(Ease to Use):提供友善網頁介面大幅降低使用者操作門檻,客戶僅得於網頁介面輕鬆操作,輕鬆滿足機密檔案保存、傳輸與歷程安全。

 參考來源:艾旺科技AsymProtectX(APX) 非對稱加密檔案傳輸區塊鏈平台

 2.機敏系統登入憑證防護產品

例舉國內知名產品重要特性:

·        特權帳號存取管理:帳號使用生命週期管理、操作軌跡稽核、風險威脅警示、駭客入侵防禦,得自動變更管理成千上萬帳號的密碼,過程不須人為介入。

·        設備帳號清查管理:自動偵測設備與帳號、線上完成清查、自動停用幽靈帳號,得自然/無負擔提昇設備帳號清查落實性,即時處置機密資產之幽靈帳號。

·        視覺化軌跡稽核:對不適合納管帳號或機敏系統,採跳板機對特權帳號活動進行有效管理稽核,以完成機敏系統登入憑證無死角防禦。

參考來源:智弘軟體科技 ANCHOR身分識別與存取管理(IAM)解決方案

 常見駭客竊取機密之入侵途徑,關鍵步驟包含「竊取檔案」、「竊取密碼」及「橫向移動」,零信任機密(ZTC)直接保護機密檔案與機敏系統登入憑證,可達成以下效果:

·        竊取檔案:取出檔案須同時擁有登入帳號/密碼及私鑰,而私鑰採公開金鑰密碼學/非對稱式密碼學產製不可破解、檔案軌跡/歷程以區塊鏈儲存,俱無法抹除特性,且檔案儲存採星際檔案系統,檔案一經上傳即無法刪除。

·        竊取密碼:機敏系統納入管理帳號,自動於指定週期或連線使用後,進行密碼變更,即便連線使用過程被駭客竊取密碼,連線使用後密碼都會自動失效。

·        橫向移動:納入管理帳號採亂數產製長密碼,任一納入管理密碼均不相同,因此無法橫向移動至其它密碼相同電腦或主機。

·        因入侵途徑各關鍵步驟均遭阻斷,無法反覆執行「竊取檔案」、「竊取密碼」及「橫向移動」,機密檔案及機敏系統均受到保護

 資訊安全產業現今百花齊放,多樣化資訊安全產品與服務,各自專精於因應特定資安議題,實務上並無單一資安產品/服務得以解決所有資安課題,應考量以縱深防禦概念達成資安目標,然於資源有限企業得優先考量零信任機密(ZTC)防禦,直接切入保護機密檔案與機敏系統登入憑證,將寶貴資源優先用於刀口上。