2023 年

2023-03-25

把握零信任 3A 資安溝通原則,讓電郵合規收發
Email165 防詐騙分析中心

合規管理(Compliance Management)指的是遵循政府相關法規或落實組織運作過程中,所需各項管理標準與內部規範,而國內特別在資安法通過後,落實合規性,已經是公務機關與大型企業須持續面臨的管理議題。

●  從公部門到企業組織,都面臨緊迫的資安規範

資訊時代讓工作溝通更便捷,近年來,疫情嚴峻考驗營運生存力,「掌握數位韌性」是企業組織持續營運的重要關鍵。數位發展部的成立、以及資安法規陸續修訂上路,首當其衝的政府 A 級機關與超大型上市上櫃公司全部嚴陣以待。(註 1)政府方面,資通安全法規定政府 A 級機關須率先設立資通安全專職人員(或資安專責人員);而金管會也明定第一級與第二級上市櫃公司等上千間企業必須設立資安長、金融業更被要求布局零信任架構部署(註 2);大型製造業也面臨供應商資安管理(註 3)、歐盟規範、以及防偽冒詐騙議題等,上述機關企業也有很高的比例被要求通過 ISO27001 國際規範。

因應更嚴峻的資安演變趨勢,為提升企業組織的數位韌性(Cyber Resilience),2022 年 ISO27001 最新正式公告改版,將近年來常見的資安議題,更系統性地訂出執行框架。將範疇由過往的資訊安全(Information Security)領域,擴展到網宇安全(Cyber Security)、隱私保護(Privacy Protection),除了規範資訊安置之外,也著重了虛擬空間、作業環境的保護,以防堵駭客趁虛而入。已經通過舊版 ISO27001 的上千家機關企業,接下來也必須通過新版的規範,以打造適宜的資訊環境。眾多的新型資安規範,目不暇給,資安規範也將陸續擴及至更多產業,也出現了跨公司、跨產業的資安專責人員彼此學習觀摩的需求。

●  安全登入又須便利:零信任3A資安溝通原則

零信任網路存取(Zero Trust Network Access, ZTNA)相較於虛擬專用網路(Virtual Private Network, VPN)更能有效減少駭客全面入侵內部網絡系統的風險。2020 年美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)正式頒佈零信任安全準則,台灣政府數位發展部唐鳳部長也將推行零信任架構列入數位部施政重點,從 111 年起連續三年,逐步推動「身分鑑別」、「設備鑑別」、「信任推斷」。減少系統中 VPN 的使用範圍,提高 ZTNA 的配置,成為近期台灣機關企業營運單位蔚為討論的重點資安議題。

打破「內網是安全的」的危險概念,具備「持續驗證,永不信任」的 ZTN 精神,就是達成安全溝通的核心。具體實踐 ZTN 安全概念,企業組織可落實 3A 框架(Authentication 身分識別、Authorization 授權存取、Accounting 行為紀錄)(註4)。在身分識別(Authentication)的部分,系統登入可選擇支援整合 FIDO 及生物辨識技術等先進多因子認證機制,提升登入認證的安全性與順暢度。授權存取 (Authorization),則須採用能精緻劃分帳號權限的系統服務,避免給予「過量的機密存取權限」給各階層管理者。行為紀錄(Accounting)方面,系統的存取紀錄必須是妥善且可被檢視的,日趨完整的使用者及管理者軌跡紀錄,再輔以異常狀況的即時警示報表,將是資安長維護組織內資安環境的重要工具。

不只架構與系統面,為了確保零信任可落實在每個資訊安全的環節,面對「溝通資料」的取得與傳遞,也可藉由導入安全溝通檢測機制,自動淨化工作溝通管道,避免員工同仁面臨偽冒詐騙信件威脅,更能為企業機關取得持盈保泰的優勢。電子郵件是最正式主要的溝通工具,也是駭客最容易偽裝入侵的管道。以電子郵件為例,可以實作的零信任精神的部分,包含:登入驗證、收信閱信、準確寄信、及歸檔備援等。

One More Thing! 新型態溝通平台,是否也採用有安全管理機制的服務了呢?

透過「即時溝通」工具完成團隊互動或專案討論,是目前員工最常在工作場域中使用的方式。但值得注意的是,多數的組織利用免費即時通平台進行內部或外部溝通行為,組織難以在管理上確保平台安全與落實資料保護。因此安全風險很值得企業主及資安長關注。最快速的自評方法就是,參考上表零信任精神情境,只要將名詞「郵件」改以「訊息」取代,就能大致了解目前組織內「工作即時通」資安實踐完整度。務實考量,資安實作勢必難以一蹴可幾,不一定要一開始就投入大量授權費用,可優先導入有機會滾動式優化的在地化雲端服務,至少不是立基在無法觸及安全管理、無從管制訊息的服務之上;而該是擁有管理者介面、可以管理帳號、停用使用者、設定浮水印、限制可存取網段、查閱使用紀錄、長存訊息檔案備查及控管來賓帳號,將是更值得投入使用的潛力平台。

資安長打造安全溝通環境,可以怎麼著手?

對於遵循資安法規戰戰兢兢的企業組織來說,近年也陸續有緩解壓力的利多消息釋出,包含企業投資資安設備達一定幅度可申報抵減稅額、資安廠商提供資安會員禮享優惠,協助企業機關降低維護資安的成本開銷。

2023 年 MailCloud 工作溝通套餐,搭配資安會員禮享,零信任安全配備更升級!
廣受企業資安長(CISO)好評採用,限期優惠至 112 年 5 月 31 日止
https://www.mailcloud.com.tw/web/suite.html


參考資料
(1) 遵循資安法,政府資安長 CISO 採購雲端共契首重電郵安全
https://www.openfind.com.tw/taiwan/markettrend_detail.php?news_id=24806
(2)【2023資安趨勢5:CISO】有獲利的公司,年底前都要設立資安長
https://www.ithome.com.tw/news/155142
(3) 【臺灣資安大會直擊】製造業如何落實供應鏈資安? PwC臺灣建議先從6大面向開始做起
https://www.ithome.com.tw/news/144356
(4) 如何掌握 2023 三大關鍵字:零信任(ZTN)、資安長(CISO)、數位韌性(Resilience)?
https://www.openfind.com.tw/taiwan/markettrend_detail.php?news_id=24810