Zero Trust不僅僅是一個概念框架,而是至關重要的戰略和安全防護行動,確保企業和組織的數位資產安全。零信任的核心理念是:「永不信任,持續驗證」,三大原則為假設入侵、最小權限、及明確驗證;在這個快速演變的數位時代,傳統的邊界安全模式以信任內部網路為前提,過度依賴存在漏洞的VPN與防火牆,已經無法應對日益複雜的網路威脅。零信任從理念到實際落實過程中,面對的挑戰包含觀念的轉換、導入實施藍圖路線規劃、各面向防護方案的協作自動化與整合維運、及持續的監測與策略調整及優化等,皆須制定對應的行動方案,讓零信任成為真正能實現的安全防護行動。未來結合AI,更可有效進行即時異常行為分析、統合各監控資料,實現AI驅動的安全自動化,以達到即時安全策略調整及應變。與會座談專家也提到,零信任的落實存在許多挑戰,有賴產官學界持續的推動,台灣因地緣政治因素,網路攻擊的次數高居亞太之冠,各產業及組織皆需要確實的落實零信任架構,來達到有效的防範網路的資安威脅與攻擊。
世界級零信任的領導人物Chase Cunningham博士(Dr. Zero Trust)和與會貴賓分享Zero Trust安全實現的豐富經驗和見解,指出零信任架構的實施如同DoD、NIST SP800-207所提及的各主軸面向,應從識別關鍵資產出發,導入多因子身分驗證、網路微分段、即時監控等,而協作和自動化更是實施及維運上主要的挑戰。Chase Cunningham博士強調,零信任並不是一個產品,而是持續演進的安全策略與行動,應從核心高風險數位資產防護開始,逐步擴展至整個企業組織,並持續優化,才能因應快速演進的網路攻擊與滲透,零信任也是現今面對資安威脅唯一的解決之道。
業界零信任專家-安永諮詢服務協理 阮紹彥的專題演講,和與會貴賓分享在金融行業實際導入經驗,具體的落實從NIST SP800-207核心原則–存取管控、連線保護、分析與回饋,到七大實施要點,也指出企業組織更應從治理、科技、程序、人員四大面向強化零信任架構資安能力,而在實施上,CISA ZTMM、DoD Zero Trust Strategy、NSA Cybersecurity Information Sheets都是最佳的參考指引。
