零信任架構的興起
隨著企業數位轉型趨勢日益蓬勃,數位科技的應用層面範圍愈加擴大且多元,遠距辦公亦成為新的工作常態,存取企業應用程式和基礎設施也逐步遷移到雲端,網路使用者除了員工或客戶,也可能是來自系統服務供應商或合作夥伴。基於各種信任邊界的模糊化,當今的網路威脅愈來愈難以透過邊界定義信任範圍,使得傳統側重於保護明確的內部邊界並假設外部威脅為主要風險的理念,不再適用也不再安全。
零信任架構的核心,主要以「永不信任、始終驗證」的精神重新定義網路安全策略,不再對任何內部或外部使用者、設備預設信任,而是透過嚴格的身份驗證與持續的風險評估,確保所有存取行為均基於動態且可驗證的安全機制。
目前美國、歐盟等國皆已將零信任架構納入網路安全戰略,我國「國家資通安全發展方案(110-113年)」亦將零信任納為政府機關資安強化重點。金融監督管理委員會(下稱金管會)自111年12月發布之「金融資安行動方案2.0」明確鼓勵金融機構導入零信任機制,並嗣於113年7月發布「金融業導入零信任架構參考指引」(下稱參考指引),俾利於我國業者參考遵循。為維護證券市場持續穩定與安全,臺灣證券交易所(下稱證交所)於114年亦展開一系列零信任推動研討會,協助證券商瞭解零信任架構,提前規劃部署,共同合作建立更完善的資安防禦體系。
零信任架構概念與實施策略
零信任架構涵蓋整體資安防禦策略,導入過程無法一蹴可及,需要企業全面評估並長期規劃,分多個階段進行補強及優化。但組織也不必過度擔心,零信任架構並非要把過去組織所有建構的資安管理機制全部淘汰,實際上我國金融機構受金管會高度監管下,目前既有的資安管理機制或多或少都能達到部份零信任架構思維的要求,故各企業在評估時,建議先行盤點現有的資安防護機制,以此為基礎,參採零信任架構概念進行規劃,採循序漸進方式提升防護能力。
金管會發布的參考指引中,係參考美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)發布的成熟度模型,並根據我國金融業屬性及資安防護量能,將控制措施等級分為四大階段,從基礎到高度成熟,分別為傳統階段、起始階段、進階階段及最佳階段。各階段設有不同導入指標,傳統階段以靜態指標為主,建議優先盤點既有資安防護機制之完整性,規劃縱深防禦策略,不以導入新產品或解決方案為必要。起始階段以動態指標為主,建立具基於屬性存取控制(ABAC)機制,可將每個工作階段(Session)之動態屬性(如時間、地點、設備合規性等)納為授權審核條件,動態撤銷、限縮存取授權或即時告警,並應辨識存取標的之關鍵數據與資源,及其被存取之交易流程。進階階段以即時指標為主,建立定期審查及異常行為之偵測、告警及回應機制,其中事件日誌應涵蓋起始階段定義之動態屬性及零信任政策產生之行為紀錄,且相關日誌可集中收容於資安事件管理平台 (SIEM)平台並與資安監控機制(SOC)整合。最佳階段為整合指標,建立可配合資安政策快速調整之自動化管理機制,這個階段的控制措施中導入自動化機制幾乎是達成指標的重要手段,才得以達成高效率又精準的應變速度。
參考指引另依據存取路徑,提出零信任的五大支柱,完整包含身分、設備、網路、應用程式及資料構面。各支柱分別對應前述四大階段指標之實作原則,從靜態、動態、即時到整合指標逐項展開,分層建構嚴謹的防護措施,舉例而言,除每次的身分重新認證外,亦需強化鑑別機制、提升信賴等級、具備動態撤銷及限縮功能。另在五大支柱的即時指標皆強調可視性分析,應整合事件日誌,建立定期審查及偵測異常行為機制,並與資安監控機制整合進行即時判斷。
此外,考量證券交易重視速度及穩定,且交易前、中、後台系統在執行資料交換與流程串接時,需達到高度即時與準確之要求,若因導入零信任控制措施,強化存取控管與安全驗證,致未妥善設計及評估,將可能影響整體系統運作效率與流暢性,故目前推動導入策略以高風險、低衝擊場域為優先,並積極鼓勵各業者投入實施,該高風險場域包括遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商及跨機構協作等,業者可以依據風險導向評估結果選擇優先序位,避免重要營運受到衝擊。
證交所114年舉辦零信任系列主題會議,多元研討零信任議題
證交所為帶領業者深入瞭解金融零信任架構實施重點,規劃全年近10場零信任系列說明會議,包含2場零信任先行機構導入分享研討會,5場根據五大存取路徑支柱(即身分、設備、網路、應用程式、資料)建議實作功能及原則說明會,另有參考指引解析及調查問卷說明會等。
114年第1場研討會業於1月3日起跑,敦請金管會長官蒞臨指導,並邀請證券櫃檯買賣中心及證券商業同業公會等周邊相關單位代表,以及全體證券商辦理金融零信任架構專責單位主管與承辦人參加。有鑑於金管會113年請各業別代表機構作為零信任先行示範單位,證券業以元大證券為先行機構,故證交所亦邀請元大證券資安長分享過去一年執行零信任的實務過程,提供各業者會議上互相交流研討之機會。後續分別於3月舉辦2場說明會,包含現況調查問卷說明及零信任概論,且於5月起安排每月針對一項存取路徑支柱進行深度剖析,俾利業者瞭解實作原則。
初次問卷調查揭示實務疑義
為掌握證券業導入零信任架構之整體現況及對參考指引的理解程度,本次設計以問卷方式,透過填答適用場域對應五大支柱的管控措施,促進業者先行檢視現行資安架構,進一步規劃符合零信任原則之防禦策略,同時,亦作為後續政策推動、資源協助及分級管理之參考。針對首次問卷調查結果進行彙整,常見問題概可歸納為三大類,分別涉及名詞定義釐清、驗證機制與日誌蒐集之適用範圍,以及身分認證技術之差異。
有關名詞定義部分,主要針對「雲端存取」、「服務供應商」及「跨機構協作」三類高風險場域加以釐清:「雲端存取」係指系統或服務建置於公有雲環境(如 AWS、Azure、GCP);倘系統未建置於雲端,則不屬此範疇。「服務供應商」係指系統允許提供公司資訊系統服務的廠商員工直接存取,例如:作業系統維運、網路設備維運等。亦即系統或設備存在廠商員工使用之帳號。「跨機構協作」則係指系統允許公司的業務協力廠商員工使用。亦即系統存在非同一法定個體之員工使用的帳號。
於驗證機制與日誌蒐集適用範圍方面,部分業者詢問,倘高風險但衝擊性低之資通系統(例如系統A)涉及登入行為,是否須確認從登入虛擬私人網路(VPN)至系統A過程中所有節點均實施多因子認證(MFA),並是否須蒐集該等期間所有身份驗證日誌。然本次問卷係依高風險低衝擊原則設計,且VPN/VDI屬遠距辦公場域,故僅需確認登入VPN階段是否已實施MFA。至於後續系統A等相關系統,則歸屬其他場域,另依所屬分類辦理。另關於日誌蒐集部分,因「可視性分析」屬等級III控制項,著重於建置完整關聯分析機制,故身份驗證相關日誌宜全面納入,俾利日後稽核與事件追溯作業。
關於身分認證技術差異部分,指引所排除之一次性密碼(OTP)類型,包括簡訊、語音及電子郵件方式,係因其無法有效抵禦釣魚攻擊,故不納為符合多因子認證要件之機制。然基於時間的一次性密碼演算法(TOTP)屬可結合實體載具使用之驗證方式,具備抗釣魚能力,為指引所建議採用之MFA實作之一。業者得視資訊環境與風險評估結果,優先採行具安全強度之驗證機制,以符資安治理原則。
結語
考量資安威脅詭譎多變,建構零信任架構將成為未來證券市場資安防護的重要趨勢,雖尚未屬於強制性政策,仍鼓勵證券商盡早規劃內部零信任策略,並提醒各業者於規劃部署策略時,應以中長期之階段分級作整體評估規劃,逐步實施,若僅限於滿足基本傳統階段的實作原則,在選擇解決方案上很可能遇到能符合現行階段多個控制措施,卻無法支援下一個階段等級的實作原則,對於持續推動上,屆時又將面臨重新規劃採購之情形,恐增加業者額外資本支出及測試部署成本,不利於長期發展。因此,證交所今年辦理零信任系列講座,以提醒妥善因應導入過程中所面臨的挑戰,持續協助證券商深化資安防護,共同強化證券市場資安防禦機制,為市場參與者的權益更增添一份保障。