Monthly Archive: 6 月 2023

0

為什麼身分安全應該成為零信任架構策略的核心

 

為什麼身分安全應該成為零信任架構策略的核心

首先,在嚴峻的疫情期間,許多企業為避免影響日常營運業務活動,選擇開始建置能使員工遠端存取的系統和應用程式。然而,許多員工為提高工作生產力,選擇採用的新工具和應用程式,卻不小心忽略工具和應用程式皆應經過IT團隊認可才能確保安全性,因此容易在不知不覺中涉入未知的資安風險。再者,在數位轉型的推動下,企業更普遍地將大部分日常工作轉移到混合雲的環境中,使員工、供應商和合作夥伴都可以遠端存取大部分系統。同時,依據近期的一項Forrester報告,機器人流程自動化、實體機器人和物聯網系統等非人類身分也正在使企業勞動力不斷擴大。對於大型企業而言,這意味著現在有成千上萬人類和非人類身分,都能通過數百到數千個存取點。而網路犯罪分子深知,在這些身分存取權限未受充分監督的情況下,身分就是企業內最脆弱、最可幫助他們輕易取得企業關鍵的商務機密的資產。因此,保護這些身分的安全,確保強大的身分與存取權限管理對於企業來說至關重要,可有效把資安風險降到最低。

許多企業正逐漸將資安邊界的重心轉移到勞動力的身分保護,並且只對正確的身分提供必要的存取權限,其中員工、合作夥伴、供應商以及非自然人的機器人等身分都在保護的範圍內。正是基於這個原因,零信任架構資安計畫必須將身分安全作為根本要素。

「零信任」資安以「絕不信任,一律查證」做為基礎概念,代表在確認驗證其身分之前,任何使用者、設備、資源或應用程式都不應該被予以信任。而在預設不信任一切網路流量的前提之下,以身分為基準是唯一可行的資安策略。

在SailPoint委託Dimensional Research所執行的調查報告中,針對全球315名IT資安專家,調查其公司的安全和身分治理作法以及對零信任資安架構的採用情形,發現無所不在的辦公作業環境、不斷增加的雲端使用量,以及日漸猖獗的資安攻擊,正促使92%的企業紛紛採用零信任資安架構,因為零信任資安架構能夠為企業提供更廣泛的可見性、更即時的威脅偵測、更低的風險,以及更好的補救措施。

同時,在接受調查的IT資安專家中,幾乎所有受試者(97%)都認同身分是零信任資安架構的基本核心,但缺乏專業知識是妨礙企業採用零信任資安架構策略的最大原因。

既然組織需要零信任的專業知識和更容易整合的解決方案,那他們應該尋求什麼樣的身分安全解決方案呢?

以人工智慧和機器學習為基礎的強大身分安全解決方案,可以自動發現、管理和控制所有用戶的存取權限,並能夠與現有系統和工作流程進行無縫整合,為所有身分及身分存取提供單一監控儀表,使企業不僅能夠有效管理存取權限,確保用戶在需要時擁有所需的存取權限,並且能夠提前發現潛在威脅。

智能的身分管理平台可以在混合和多雲環境、遠距辦公及多項設備中,輕鬆識別身分風險、監控存取行為並優化角色執行權力,成為大規模保護業務和確保合規性的基礎。

透過管理各類數位身分的存取權限,企業可以擬定出一套能夠適應和回應不斷變化的組織和威脅態勢的零信任架構。重要的原則包括:

絕不信任,一律驗證:正確的存取權限決定必須依據情境與最新的身分資料而定。透過再簡單不過的身分驗證決策,以及對所有使用者建立完整的身分紀錄,包括所有權限、授權、屬性和角色,組織能夠在需要時準確地授予存取權限。

只適時提供適度存取權限:善用角色和複雜的存取策略邏輯,強制執行最小權限原則。具有明確定義和詳細存取角色的組織,能夠輕鬆分配、調整和撤除存取權限,避免出現一次性存取分配的風險,而這些存取權限經常被遺忘,而且大多數時候從未被撤除,因此極具風險。

連續監控、分析和調整:時時使安全處於最新狀態,並在變化發生及偵測到威脅時機動地應變。分析大量與身分相關的數據以適應組織的變化並做出正確的存取決策,需要透過以人工智能和機器學習為基礎的工具,以及與支持零信任策略的其他安全系統進行整合。通過使用身分數據,組織可以採用強大的策略確保資訊安全性時刻更新,並能在發生變化和監測到威脅時動態應變。

當企業專注於身分安全的核心時,便可以在不影響生產力或創新的情況下確保對資源的安全存取,在正確的時間提供正確的存取權限,從而在整個組織中提高安全性和合規性。

文章來源

0

白宮發布新網路安全策略,政府機構將使用「零信任」架構

日前美國政府公布了最新的網路安全政策,政府機構將使用「零信任」架構。

什麼是零信任?零信任的概念是什麼?核心價值又是什麼?

元盾將美國政府最新的網路安全政策翻成中文,並將文中重點標註出來,方便閱讀。

=====================================================

白宮發布新網路安全策略,政府機構將使用「零信任」架構

白宮底下的行政管理和預算辦公室(簡稱OMB)及國土安全部與美國網路安全暨基礎架構管理局(簡稱CISA)正針對關鍵零信任策略和技術指導徵詢大眾建議,藉以強化整個聯邦政府的網路安全。

近日OMB頒布了一項聯邦策略草案,表示將推動美國政府走向零信任架構。CISA也發表了他們的雲端安全技術參考架構零信任成熟度模型,以指導和協助組織/機構實施規劃。

零信任成熟度模型

OMB零信任政策的頒布支持了關於改善國家網路安全的14208號行政命令,該命令是協助民間機構基於零信任原則調整企業安全架構。該策略草案的頒布正說明了未來幾年內零信任對於聯邦民間機構的重要性及優先性,重點將著重在幾個關鍵安全成效上,並設定基準政策及技術要求。

OMB零信任策略的關鍵作法包含整合機構身份系統、利用多階段身份驗證防堵網路釣魚、將內部網路視為不受信任的加密流量、利用強化應用程式安全性讓資料數據更安全等更多方式。轉向採用零信任架構對於聯邦政府並非一蹴可及的政策,隨著新應用及新技術的出現,政府會隨時學習且調整作法。

CISA發表的雲端安全技術參考架構和零信任成熟度模型,也支持了關於改善國家網路安全的14208號行政命令。該架構是在美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)貢獻之下,由多個機構共同開發而成。目標是為機構提供有關採用雲端服務的共享風險模型、如何構建雲端環境以及如何利用雲端安全狀態管理監控環境的指導。

零信任成熟度模型補充說明了OMB零信任策略,並協助機構開發零信任架構。成熟度模型為機構提供規劃和資源,以達到最佳的零信任環境。為此OMB和CISA正在zerotrust.cyber.gov徵詢大眾建議及反饋,藉以改進加強聯邦政府企業安全的戰略。

永不信任,一律驗證。我們透過今天的零信任公告,清楚地向聯邦機構傳達了這樣一個信息,他們不應該自動信任其周邊內外的任何東西。在授予訪問權限之前,對於任何要存取或連結系統的事物都要進行驗證。這是我們對於現代技術環境所賦予的期望,並期待從大眾的建議反饋中,使得策略更加強大。」聯邦首席資訊長Clare Martorana表示。

「聯邦政府的網路安全方法必須迅速發展,以跟上我們的對手的步伐。朝著零信任原則前進是實現目標的必經之路。今天所頒布的聯邦零信任策略草案,會幫助各機構將理論原則付諸實踐。雖然實施該計劃有其緊迫性,可是我們明白有更多專家及社群的共同參與,將有助於確保計劃正確地進行。政府歡迎任何改善聯邦網路安全及改善策略的建議。」聯邦首席資安長Chris DeRusha表示。

「零信任成熟度模型是CISA協助聯邦機構保護系統的方法之一,我們期待公布模型後,能從大眾得到更多的見解及看法。此外,CISA與美國數位服務(USDS)和聯邦風險與授權管理計劃(FedRAMP)共同合作,一起編寫了雲端安全技術參考架構。該架構可以對機構的安全雲端搬遷給予指引。藉由強大的合作關係及持續的合作之下,CISA會研發創新的方式保護不斷變化的網路安全,進而實現關鍵的聯邦資訊現代化。」CISA局長Jen Easterly表示。

「我們的對手不斷因應網路發展在進步,我們也理應如此。零信任原則是聯邦機構必須如何發展以滿足現今網路安全需求的核心。零信任策略草案將驅使各機構朝著正確的方向發展,協助制定趨近一致的網路安全態勢。我們歡迎任何大眾給予的建議,能讓策略更加強大且有效。」國家網路總監Chris Inglis 表示。

迅速改善網路安全,以身作則實施創新、有效的技術,是政府網路安全戰略的核心。今天,關於網路安全的行政命令正逐步實施中。我們也歡迎跟民營企業合作,共同致力於實現網路防禦現代化。」負責網路和創新技術的國家安全副顧問Anne Neuberger表示。

新聞來源的文章連結

英文原文來源

行政院國家資通安全會報技術服務中心新聞來源

資安人新聞來源

延伸閱讀的文章連結

雲端安全技術參考架構(Cloud Security Technical Reference Architecture)

零信任成熟度模型(Zero Trust Maturity Model)

OMB零信任政策

0

今年要求1千4百多家公司設置專責資安單位,目前僅2成達標

去年底上市櫃第一級公司皆已完成資安長、資安主管及至少2名專責人員的設置,在2023年底則是要求第二級公司需完成資安主管及至少1名專責人員的設置,今年已過去4個月,尚有1,171家上市櫃要行動。

這兩年,我國政府聚焦於推動產業落實資安,不論是規範企業揭露資安事件重大訊息,以及要求公司年報記載資安管理作為,成為不同產業上市櫃公司必要之務,還有逐年規範符合條件公司配置相應資安人力,例如,去年底要求113家上市櫃公司需設置資安長。

2023年還有哪些重要目標?臺灣證券交易所(證交所)公布最新推動現況,例如,要求1,443家第二級公司需在年底前,完成資安主管及至少1名專責人員的設置,而且,個資保護將是下一重點。

今年第二級公司要設置專責資安單位,已有270多家做到

為了強化上市櫃公司資安治理能力,金管會證期局與證交所之前已有公開說明,他們主要從資訊公開、公司治理、監理協助的角度出發,提出多項幫助上市櫃公司資安防護的措施。

關於這一年來的推動情形,從臺灣證券交易所副經理汪厚燊的說明來看,以資訊公開的推動面向而言,不論是重大訊息、年報上的資安揭露,以及內控度措施的資安檢查,都早已完成推動。

不過,在公司治理的推動面向上,我們注意到有兩大新進展受關注,分別是:資安長、資安專責單位及資安人員的設置狀況,以及公司治理評鑑項目的調整。

首先,目前各界最關切的焦點,就是要求上市櫃公司設置相關資安人力。

以2022年底對於第一級公司的要求而言,汪厚燊表示,目前這些被要求的102家上市及13家上櫃公司,均已完成資安長、資安專責主管及至少2名資安專責人員的設置。

而今年的重要進度,就是針對第二級公司的要求。值得我們關注的是,今年受規範的上市櫃公司數量龐大,共有1,443家需在2023年底達目標,完成資安主管及至少1名專責人員的配置。

目前這方面進度如何?汪厚燊指出,根據最新統計顯示(至4月30日止),國內已有270多家公司提早完成目標,比例將近2成,不過,此一進度算是偏慢,畢竟今年已經過去三分之一,仍有8成比例的公司還未行動。

同時,汪厚燊公布了更具體的統計資料,目前還有618家上市公司與553家上櫃公司,尚未完整設置專責資安主管及資安人員。其中,尚未設置資安主管的公司,有上市602家與上櫃546家,尚未設置資安人員的有602家上市與533家上櫃。

整體而言,還有大約1,100多家的上市櫃公司,要在接下來的8個月內,做好填補專責資安人力的工作。對於這樣的結果,我們認為,也反映普遍上市櫃內部缺乏專責資安團隊的現況。


圖片來源/臺灣證券交易所

為了提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,今年重點是在第二級公司,目前尚有1,100多家上市櫃公司要完成資安主管及至少1名專責人員的配置,同時,政府也鼓勵這些公司能加入領域ISAC,或TWCERT等資通安全情資分享平臺,以達資安聯防之效。攝影/iThome

公司治理評鑑加分項目,今年新增導入資安標準並取得驗證

第二個新焦點,是在公司治理評鑑的修正,將完成導入「國際資安標準」並取得外部驗證,納為加分項目,可在公司治理評鑑的總分另加1分。

事實上,我們在2019年即注意到,治理評鑑項目首度新增資安相關內容:「2.24 公司是否建置資訊安全風險管理架構,訂定資訊安全政策及具體管理方案,並揭露於公司網站或年報?」。而在最新第九屆資安治理評鑑中,除了將上述指標的文字做調整,以符合「公開發行公司年報應行記載事項準則」修訂的內容,並特別將導入ISO27001、CNS27001或同等以上的資訊安全管理系統標準,並取得第三方驗證,納為公司治理評鑑的加分項目。

不過,汪厚燊強調,比起國外的公司治理評鑑所設定的資安指標來看,我們還有很大的提升空間。基本上,公司治理評鑑的目的,是促進公司本身主動增進治理水準與動力,藉由每年度自評逐步導引企業採用良善公司治理措施,而在國際間的公司治理評鑑中,資安評鑑指標項目的內容,還會涵蓋更廣。

圖片來源/臺灣證券交易所

以我國公司治理評鑑的資安指標而言,目前主要涵蓋面向是在:政策與機制、流程與基礎架構、引用國際標準,以及第三方驗證。但以道瓊永續指數(DJSI)、明晟永續指數(MSCI ESG)而言,其涵蓋範圍更是包括:定期弱點分析、事件因應、收集與留存資料最小化、政策涵蓋供應鏈及合作伙伴、資安教育訓練。

換言之,儘管國內還沒有將這些方面訂為評鑑項目內容,但企業也可從國際發展態勢作為借鑑,視為增加公司資安治理的要項。

促進資安訊息分享,第一級公司加入ISAC、TWCERT達8成

關於監理協助推動面向的新進展,主要焦點就是著重於資安訊息的分享。去年金管會證期局已開始鼓勵上市櫃公司,加入資通安全情資分享平臺,包括國內各領域ISAC(金融、科技、醫療、能源、通訊、交通),沒有產業限制的TWCERT,以促進上市櫃公司的資安情資分享與聯防。

這方面的進度如何?汪厚燊表示,截至今年3月7日為止,以第一級公司而言,102家上市公司中有91家加入,比例達近9成,13家上櫃公司有10家加入,比例達7成6。

以第二級公司而言,在772家的上市公司中,已經有242家加入,比例為3成1,在671家的上櫃公司中,已經有187家加入,比例為2成7。

總體而言,第一級公司的加入狀況還算不錯,平均在8成左右,但第二級公司還不夠積極。

因此,證交所與櫃買中心希望在2023年底前,能促進更多上市櫃公司加入這類平臺,取得資安預警情資、資安威脅與弱點資訊,以達資安聯防之效。

個資保護將成下一重點,內控查核將新增個資檢查項目

至於2023年下半,主管機關可能提出哪些新規範,汪厚燊透露,個資議題會是一大重點。

關於個資保護,不只是上市櫃公司,所有公司都應該要有所重視,因為近期政府動作連連。例如,在今年5月,國發會祭出防止非公務機關個資外洩的精進措施,就是針對個資而來。而且,個人資料保護法部分條文修正草案通過,將設立「個人資料保護委員會」,並將限期未改善或情節重大的最高罰責提高至1,500萬元。

而針對上市櫃公司,主管機關也將從監理協助的內控查核方面著手,新增加個資查核的項目來因應。

另外,汪厚燊表示,政府為了鼓勵企業重視資安規畫,除了祭出裁罰措施,也有提供獎勵計畫,例如,去年經濟部與財政部發布「公司或有限合夥事業投資智慧機械與第五代行動通訊系統及資通安全產品或服務抵減辦法」,首度將資安投資納入抵稅範圍,為期三年,今年將可開始申請2022年的資安投資抵稅,最晚申請時間是5月底。

針對三大資安作為揭露,證交所增加參考範例

近年來,我國強化上市櫃資安從資訊公開、公司治理,以及監理協助著手,自2023年推動概況來看,資訊公開方面新動向較少,因為多數都已完成,但我們最近發現,證交所在2021年12月底發布針對資安管理的股東會年報最佳實務參考範例,在2023年有新的版本,因此,我們在大會演說結束後詢問汪厚燊,目前看來,新版本是在2023年2月發布,當中對於資通安全風險管理架構、重大資通安全事件、資通安全風險與因應措施等層面的範例數量,將原本的1個變成2個,希望幫助上市櫃公司編製年報的人員有更多參考依據,符合主管機關、產業投資人的期望。

文章來源

0

立院三讀通過個資法修法,企業外洩個資可直接開罰要求改善,最重可罰1,500萬元

立法院今天(5/16)三讀通過個資法修正案,國發會指出,修正案加強對非公務機關違反安全維護義務,例如企業外洩個資事件,可直接開罰並限期改正,違反嚴重者最高可罰1,500萬元。另外,呼應各界要求設置獨立個資保護機關,行政院將儘速成立個資保護委員會籌備處。

此次個資法修法有2項重點,主要為第1條之1、第48條及第56條。首先是,針對外界認為個資法對企業違反安全維護義務罰則過低,主管機關往往先命改正後處罰,批評無法有效責成業者強化個資安全作為,因此在修正案中修改第48條規定,企業若違反安全義務將直接開罰,同時命其改正,並提高罰鍰上限,從2萬元以上20萬元以下,提高為2萬元以上200萬元以下。

如違反情節重大者,處15萬元以上1,500萬元以下罰鍰,屆期未改善者,得按次開罰15萬元以上1,500萬元以下罰鍰。

另一個修法重點是增加個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關,行政院將會積極推動設置個資保護獨立監督機關,以達成去年8月憲法法庭判決,要求3年內完成個資保護獨立監督機制,並解決目前個資主管機關分散,缺少個資保護的獨立專責機關問題,同時也能接軌國際趨勢。

國發會表示,此次修法將賦予行政機關更有效的執法權限,行政院也將儘速設立個資保護委員會籌備處,並推動組織草案、第二階段個資法修法工作。至於強化公務機關個資保護,將落實資通安全管理法對公務機關的規範,未來也會由獨立的個資保護委員會,就整體規畫公務及非公務機關個資保護監督機制。

此次個資法修法主要呼應外界限期改正再處罰、罰責過輕的批評,以及要求設立獨立個資保護主管機關。先前iRent發生40萬筆客戶資料外洩,雖然交通部公路總局成立專門的小組進行調查,限期要求改善,最後因業者限期未改善開罰最高20萬元,未來企業如再發生類似事件,將受到更高的罰鍰。另,根據媒體報導,政府計畫在8月成立個資保護委員會籌備處。

文章出處:https://www.ithome.com.tw/news/156904

0

誠品、iRent接連個資外洩,修法後最重罰1500萬!分析師:資安還要補強兩件事

2023年到現在,台灣已經發生至少15起資安事件,像是:華航的電商平台發生異常後傳出會員資料遭竊、微風廣場收到匿名勒贖信件後客戶資料外洩、威秀影城發生顧客個資外洩、宏碁資訊委外權限遭竊導致產品資料外洩……。究竟有沒有實際規範能加以約束?一次又一次引起了爭議。

立法院在本月16日三讀通過《個人資料保護法》部分條文修正案,針對近期多家企業發生的個資外洩事件提出舉措。

《個人資料保護法》修法兩大重點
修正個資法第48條非公務機關違反安全維護義務之裁罰方式及額度,改為逕行處罰同時命改正,並提高罰鍰上限,處新臺幣(下同)2萬元以上200萬元以下罰鍰,若是情節重大者,處15萬元以上1,500萬元以下罰鍰。屆期未改正者,按次處15萬元以上1,500萬元以下罰鍰。
第二,增訂個資法第1條之1規定,由個人資料保護委員會擔任個資法主管機關。行政院將積極推動設置個資保護獨立監督機關,以呼應去年8月12日憲法法庭第13號判決,要求3年內完成個資保護獨立監督機制之意旨,解決目前個資法分散式管理下之實務監管問題,並與國際趨勢接軌。
國發會表示,本次藉由修正裁罰方式及額度,以回應各界普遍反映業者違反安全維護義務罰責過低,且「先命改正」後處罰的方式,無法督促業者強化個資的資安維護。