推動政府零信任架構 強化關鍵基礎設施安全
面對網路邊界日益模糊,資安院發展零信任架構資安防護環境,推動公務機關導入零信任架構,以並完善關鍵基礎設施的防禦深廣度。
採訪/施鑫澤·文/林裕洋·刊期/2024.01
臺灣由於長期遭到中國駭客發動的攻擊,所以早在 2018 年制定資通安全管理法(資安法),將公務機關及特定非公務機關之資安防護措施進行納管,以降低並防範資通安全的風險。資安法實施至今已經 5 年,鑑於全球資安趨勢變化快速,數位發展部已公布資安法修正草案,其中與關鍵基礎設施相關的條文非常多,如修正關鍵基礎設施提供者及特定財團法人之定義、增訂中央目的事業主管機應公告指定關鍵基礎設施提供者之指定基準、廢止條件及程序之規定等。
國家資通安全研究院副院長林盈達指出,為協助特定公務、非公務機關的關鍵基礎設施擁有者,能逐步落實資安法的相關要求,我們很早就推出「關鍵基礎設施的檢核表」。不同產業適用的檢核表有些許差異,維運單位可藉此了解有哪些不足或待改善之處。舉例而言,資安法要求關鍵基礎設施的維運單位,必須每個人擁有獨立帳號,部分業者可能受限於現有封閉特定業者系統限制,只能採取多人共用一個帳號,此時可能替代方案是透過安裝攝影機方式,掌握每個人員進出機房的時間。一旦發生意外事件時,也能快速辨認問題根源,透過此種變通方式助業者落實資安法。
借重關鍵基礎設施防護演習 培育資安人員反應能力
監督機關為數位發展部的國家資通安全研究院,其工作重點除研發資通安全科技,推動資通安全技術應用、移轉、產學服務及國際交流合作外,也肩負協助規劃及推動國家資通安全防護機制、協助政府機關(構)及關鍵基礎設施重大資通安全事件應變處置、規劃及支援國家關鍵基礎設施之資通安全防護等。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
由於關鍵基礎設施與國家安全息息相關,所以自 2015 年開始行政院國土安全辦公室都會定期舉辦國家關鍵基礎設施防護演習。此演習是全災害之觀念結合複合型災害模式來實施,與「民防法」、「災害防救法」、「全民防衛動員準備法」、「資通安全管理法」、「國土安全應變機制行動綱要」之各種整備及應變處置規範均息息相關。當關鍵基礎設施遭到攻擊,若初步依事件現場狀況判斷,如屬資安事件則啟動資安事件之通報及應變機制。
林盈達指出,現今關鍵基礎設施非常容易遭受攻擊,但多數業者平時又缺少可以演練的場域,所以透過每 2 年一次的定期演練,可讓公務機關、關鍵基礎設施業者等,在模擬場域中進行攻防演練。如此一來,若在真實環境中遭到攻擊,自然能採取最合適的應對措施,將損害與衝擊降到最低,所以每次活動都吸引很多關鍵基礎設施業者參與。
個人資料保護委員會成立 可望提升個資法保護意願
隨著駭客攻擊手法進化,導致企業的大量消費者個資被竊取,嚴重影響消費者權益後,2012 年 10 月 1 日臺灣也正式實施新版個資法,除適用範圍擴大到所有產業之外,也將賠償金額加重到 2 億元以上。該法案上路至今超過 10 年,然受限於當初沒有明定主管機關,以至於在後續實施過程中,往往給人雷聲大雨點小的狀況,沒有讓企業感受到落實資安防護的重要性。如 2023 年初 iRent 爆發個資外洩事件,最終總罰款金額僅為 40 萬元,若比照該公司整體營收來看,僅為是九牛一毛的金額,難以達到先前驅動企業落實資安保護的目的。
為此,2022 年行政院公布臺灣首部「國家人權行動計畫」時,已將「設置獨立隱私專責機關」列入計畫項目。而為回應憲法法庭判決所指出「政府對個人資訊隱私權保障不足,應有個人資料保護獨立監督機制」,2023 年 3 月通過設置個資保護獨立監督機關。2023 年總統在公布「個人資料保護法」修正案時,也明定「個人資料保護委員會」為該法主管機關。行政院已成立籌備處負責推動該委員會籌設事項的總體規劃、研擬組織法規、修訂個資保護法規、規劃公務與非公務機關個人資料保護事務監督、查核、通報、陳情等相關機制,以及規劃推動並執行個人資料保護相關教育訓練、宣導與人才培育等工作。
「成立個人資料保護委員會,是臺灣推動個資保護重要的里程碑,對於全力維護民眾個資權益帶來極大幫助,讓臺灣個資保護法能符合國際水準。」林盈達解釋:「由於法令已給予主管機關相關權限,未來相關開罰力道絕對比現今更大,可預期讓企業能夠有所警惕,落實保護消費者個資的工作。」
開設資安長培訓課程 帶動企業強化資安韌性
為協助臺灣產業落實資安工作,2021 年 12 月金管會公告「公開發行公司內部控制制度處理準則」,將全臺近千家上市(櫃)公司分成三個等級,第一級別企業須設置資安長及資安單位,估計上市(櫃)公司將有 1,400 多個公司有資安長、資安主管或資安人員的需求。為了協助產業培訓各類資安人才,資安院參考歐盟及美國經驗,規劃從資安人才職能基準、專業培訓、能力鑑測到資格審定等連貫培育制度,與學研機構共同合作培訓各類資安人才,訓練評測合格後將由資安院與培訓機構共同核發職能證書。
日前,資安院依據政府資安即國安戰略及產業實際需求,資安院參考歐盟及美國經驗,導入資安長職能基準,著手推動高階資安主管培訓工作,與國立臺北科技大學合作開辦首屆「資安長高階領導班」。該課程在培訓資安長任務所需要的技術、知識及能力核心課程,協助扮演資安領頭羊角色的資安長,在職場領域能發揮專業職能,進而帶動企業強化資安韌性。資安院預計明年接續開辦資安事件應變工程師養成班,以培訓各類資安專業人才。
林盈達說,資安長高階領導班課程宗旨在培訓適格的企業資安長,使其具備履行資安長所需能力,推動企業落實有效的資訊安全防護工作。課程內容涵蓋資通安全治理與策略管理、資通安全風險評估與資通安全稽核、資通安全運營與資源分配、資通安全應變及新興科技等 5 個主題。資安長課程設計強調帶得走的能力,除理論課程外,也更重視實務經驗及工作坊實作,亦設計一套評量機制,以確保學習效果。
資安長高階領導班也安排企業參訪活動,以利學員了解、學習產業具體、有效的資安防護作為。資安院希望學員透過系列課程專業訓練及專題討論,提升企業資安治理及策略規劃之能力,並能運用領導班課程所習得的知識,提升公司的資安防護韌性。
駭客運用 AI 強化攻擊力 資安人員須審慎應對
2022 年底 ChatGPT 亮相之後,讓全球看到生成式 AI 的無限可能,也成為各產業帶推動轉型專案不可或缺的突破性技術。只是該技術也已成為駭客攻擊的新型武器,尤其是結合傳統攻擊與新型態攻擊的態勢,讓 2024 年資安環境的風險與壓力都將隨之增強。根據趨勢科技公布 2024 年的資安預測報告指出,駭客集團勢必會借力 AI 新技術來優化自身營運模式,提升攻擊速度與力道,擴大資安事件衝擊,將讓資安態勢更加複雜詭譎。如在 AI 技術協助下,可望會產生自我繁殖的蠕蟲自動化攻擊,將加劇雲端安全風險。
[ 推薦閱讀:資安法歷經五年 順應時事修法完善 ]
「儘管愈來愈多企業都開始透過紅、藍攻防演練方式,提升整體資安防護力,然而駭客在 AI、攻防技巧等熟悉度,絕對比多數企業資安人員更熟悉。」林盈達解釋:「發展多年,令企業聞之喪膽的 APT,屬於傳統的半人工攻擊手法,在駭客團隊的資安專業知識加持,大約可以長期持續深入挖掘達 30 個以上的步驟。而傳統勒索軟體採用自動化技術,大約只能挖掘 6~8 層漏洞就停止了,現今採用生成式 AI 技術後,將可能不斷自動化挖掘出各層面的漏洞,造成衝擊將難以預估。」
駭客組織以 AI 技術發動攻擊大約可分成兩種,第一種模式是運用 AI 工具協助,持續探索企業內部、應用程式等漏洞後,作為後續發動攻擊的參考。第二種模式則是以 AI in Fuzzing 方式,給目標軟體各種命令、各種參數、針對特定漏洞發動攻擊。在此狀況之下,扮演藍軍角色的企業資安人員,勢必也要加速熟悉運用 AI 工具進行偵測,否則勢必會面臨前所未有的威脅與挑戰。
發展零信任架構 提升政府防禦深廣度
過去幾年,隨著資料與服務雲端化、使用者行動化、存取設備多元化,傳統基於信任邊界之網路模型已現資安窘境,難以滿足新形態工作需求。而近幾年興起的零信任架構,則是訴求突破傳統網路模型的資安窘境,並能保護資料存取,分別是「保護資料/應用存取」、「使用者/設備與資料/應用無處不在」、「任何資料存取永不信任且必須驗證」等。隨著零信任成為主流,2020 年美國國家標準技術研究院(NIST)正式頒布標準文件 SP 800-207:零信任架構(Zero Trust Architecture, ZTA),作為成為各界打造零信任架構的參考文件。
隨著零信任架構成國際主流,加上駭客攻擊事件頻傳,資安院依據「國家資通安全發展方案(110~113年)」之「善用智慧前瞻科技、主動抵禦潛在威脅」推動策略,發展零信任架構資安防護環境,推動公務機關導入零信任架構,以完善公部門的防禦深廣度。政府零信任架構係參考 NIST SP 800-207 零信任架構,同時結合向上集中之防護需求,採取資源門戶之部署方式(Resource Portal-Based Deployment),包含身分鑑別、設備鑑別及信任推斷 3 大核心機制。
林盈達指出,零信任架構主要目的是解決現今網路環境複雜造成信任邊界不明之資安窘境,期望透過對任何資料存取皆永不信任且必須驗證的原則,達成不論在何時何地存取資料皆保證一致安全性之相關技術。政府零信任架構採資源門戶之部署方式,存取閘道為機關資通系統之存取門戶,其依據決策引擎之存取決定,負責建立、監控及終止使用者與機關資通系統間之網路連線。
值得一提,政府機關推動零信任架構時,必須了解這是一段逐步成熟之過程,而非一次大規模替換基礎架構與存取流程,其中又以身分鑑別為優先導入機制。資安院將提供導入建議,協助政府機關實施零信任架構,強化國家整體資安防護能力。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
