數位時代 Business Next

數位關鍵字61. 什麼是零信任資安,真的會比較安全嗎?


Listen Later

無論是做線上或線下生意都需要倚賴數位工具和網路服務,但談到資訊安全時,如果沒有受到衝擊、斷線、系統失效等影響,大多數的消費者和營運商可能根本就不會特別在意。在過去,管理資安的方式就是把環境建好,讓範圍內的聯網機器都能安全運作,但近年來有個叫零信任(Zerotrust)的詞開始被熱烈討論,能讓數位環境變得更加安全。數位時代創新長黃亮崢James邀請DEVCORE戴夫寇爾資深副總徐念恩Bowen來和大家談談如何建構一個零信任的安全環境。

1.零信任是一個概念與原則。過去企業做資安就像是在建城牆,只要將牆建得夠堅固、高大就能抵禦所有攻擊,並且認為城牆內的所有人都是安全、可信任的,但隨著攻擊手法的發展,能進到企業內部的方式越來越多,常見像釣魚信件、盜用帳號、破解企業Wi-Fi存取內網或甚至實體入侵等。因此,企業內部的環境已經不能完全信任,甚至應該預設為不信任,因儘量在每個存取動作上加入身分驗證、權限控管或加解密機制。

2.資安沒有絕對的安全,我們能做的只有在有限成本與資源下,運用各種機制、措施來降低事故發生的機率。2FA(雙因子驗證)、MFA(多因子驗證)就是一個很好的資安措施,許多網站會在輸完帳號、密碼後,用Email、簡訊、APP寄一組驗證碼給你確認身分,這樣的機制能夠大幅降低攻擊者駭入你帳號的可能性。
 
3.如果無法暫時無法導入零信任的產品,需要自行設計適合的架構,可以參考3A框架來進行實作。
第一個A是Authentication(認證),「絕不信任連線來源或身分」,即便使用者已在內網許久,仍要預設其為是不安全的。
第二個A是Authorization(授權),遵循「最小權限原則」,只提供必要權限、資源給使用者。
第三個A是Accounting(記錄),記錄資料授權、身分驗證的時間、人員等。
 
4.零信任並非真的什麼都不要信任,而是透過這個概念重新建立信任,並在過程找出不值得信賴的資源存取模式,擬定新的資安策略來對其進行回應,此外,企業的零信任模型不能一成不變,應進行動態調整並且能接受外部檢驗,在找到企業環境的弱點後,快速對其進行修正,如此一來才能打造最有效益的資安防護。



Powered by Firstory Hosting
...more
View all episodesView all episodes
Download on the App Store

數位時代 Business NextBy 數位時代 Business Next

  • 4.3
  • 4.3
  • 4.3
  • 4.3
  • 4.3

4.3

12 ratings


More shows like 數位時代 Business Next

View all
科技報橘 by TechOrange 科技報橘

科技報橘

5 Listeners

聽天下:天下雜誌Podcast by 天下雜誌

聽天下:天下雜誌Podcast

174 Listeners

MacroMicro 財經M平方 by MacroMicro

MacroMicro 財經M平方

62 Listeners

下一本讀什麼? by 閱讀前哨站 瓦基

下一本讀什麼?

179 Listeners

財訊 《Wealth Magazine》 by 財訊雙週刊

財訊 《Wealth Magazine》

31 Listeners

商周Bar by 商業周刊

商周Bar

8 Listeners

天下文化‧相信閱讀 by 天下文化

天下文化‧相信閱讀

47 Listeners

請聽,哈佛管理學! by 哈佛商業評論

請聽,哈佛管理學!

29 Listeners

今周大耳朵 by 今周刊Business Today

今周大耳朵

9 Listeners

天下學習 by 天下雜誌

天下學習

20 Listeners

經理人 by 經理人月刊

經理人

3 Listeners

閱讀經濟學人 |  《給決策者的國際筆記》 by 新台灣人數位有限公司 -Jeff 與編輯團隊

閱讀經濟學人 | 《給決策者的國際筆記》

26 Listeners

數位時代 6 in 5 by 數位時代 Business Next

數位時代 6 in 5

0 Listeners

VK科技閱讀時間 by VK

VK科技閱讀時間

10 Listeners

每日聽管理 by 經理人

每日聽管理

3 Listeners

科技浪 Tech.wav by 哈利

科技浪 Tech.wav

76 Listeners