Google Cloud 預測 2025 年前 90%安全措施將採自動化作業 2023-02-02 資安人 新聞來源： https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10313&mod=1 Google Cloud 預期，未來兩到三年間將出現更多突破性革新，這些改變的推力來自包容神經多樣性的設計、開放原始碼管理，以及有助實現「週休三日」的 AI 擴展趨勢。 過去三年來，企業試圖解決前所未有的挑戰，因此加快了數位轉型的腳步。 Google Cloud 預測 2023 至 2025 年十大雲端應用開發趨勢，其中與「資安」相關者： 將有過半企業的應用程式是由非 IT 開發人員打造 隨著技術民主化的發展，讓「低程式碼」或是「無程式碼」技術被更多企業所熟識，預期未來將有越來越多的開發工作是由非 IT 部門的團隊或人員負責。根據市調機構 Gartner 指出，至 2025 年，由企業所開發的新興應用程式當中，將會有高達 70% 是採用「低程式碼」或者是「無程式碼」技術所打造。遠高於 2020 年，僅有近 25% 應用程式採用該技術所開發。 這代表非 IT 技術背景的人員也可以建立符合需求的企業級應用程式，並不必具備程式設計能力，就能自行打造應用程式和自動化工作流程。 開發人員仍須打造這些無需程式碼的工具，並提供防護機制保護企業安全， 但企業使用者可在沒有開發人員的協助下完成更多事情。這一轉變讓企業的營運不再僅仰賴於特定 IT 專業人員，也讓不同層級的人員都有參與開發的機會。 透過開放原始碼管理提高可靠度 開放原始碼具備的速度、靈活性，以及可擴充性，讓開發人員高度仰賴開放原始碼的使用。根據市調機構 Gartner 的軟體結構分析市場指南（Market Guide for Software Composition Analysis）指出，幾乎所有企業都會用到開放原始碼軟體，但這也成為企業受到駭客攻擊的痛點之一。 這讓企業開始重視開放原始碼管理的重要性，除了可以維持原始碼的公開性質外，更能提升軟體可靠度。此外，開放原始碼的「管理者」不僅能找出安全漏洞，並會協助修正。管理者會更新舊版依附元件，並追蹤新版依附元件。就開放原始碼管理而言，依附元件會內建自動測試機制，且可能會提供回應型服務水準協議。這點在現今特別重要，因為目前有許多仰賴開放原始碼運作的數位基礎架構，而這些原始碼是由社群以「保持原樣」的方式維護。 這種情況會因開放原始碼管理的普及而改變，例如 Google Cloud Software Delivery Shield 便是管理開放原始碼的工具。 這套全代管安全解決方案可從採用原始碼到部署期間，全程保護企業軟體供應鏈。 Google 會掃描、分析及模糊測試超過 250 個 Java 和 Python 套件，替企業找出安全漏洞並視需要更新。由於開放原始碼管理可大幅提升安全性，Google Cloud 預期在 2025 年前，所有企業開發人員都會採用這套做法。 防護措施將走向自動化，並以程式碼的形式管理 層出不窮的網路攻擊，讓現今的安全營運團隊難以阻絕危害。根據全球資訊安全業者 Mandiant 調查，亞太區涉及勒索軟體的侵入行為，從 2020 年的 12.5％ 增加到 2021 年的 38％，顯示亞太區企業面臨越來越頻繁的網路資安威脅。 為了在雲端環境中大規模實施防護措施，Google Cloud 運用程式碼提升安全機制的敏捷性和應用規模。過程中將採用 API 優先的做法、Chronicle 和其他工具，包括 Google Cloud 最新的 Mandiant 網路安全產品組合。保密資訊的存取規則可依管理員活動記錄等資料自動建立，因此不必手動設定並複製到不同的環境中。 同樣地，使用者也可以建立應對手冊，以自動化擷取、分析與回應等工作流程，讓安全性分析師能以更接近開發人員的方式工作，省下時間以專注處理企業面臨的重大威脅。 預計 2025 年前，有 90% 的安全措施將採用自動化作業，並以程式碼的形式管理。 < Previous News Next News >

2025年「Secutech台北國際安全科技應用博覽會」徵展開跑！ 2025年5月7~9日 台北世貿中心南港展覽館 1館(1樓) 2025年「Secutech台北國際安全科技應用博覽會」徵展開跑！ 歡迎會員廠商請踴躍報名，參展聯絡請洽詢： 主辦單位：法蘭克福有限公司台灣分公司 聯絡電話：02-8729-1099 分機 536 賴小姐 Email信箱：iris.lai@taiwan.messefrankfurt.com 更多展覽資訊請瀏灠展覽官網： https://secutech.tw.messefrankfurt.com/taipei/zh-tw.html 南港展覽館 1 館( 1樓) 香港商法蘭克福展覽有限公司台灣分公司 徵展開跑 EDM https://event.flydove.net/edm/web/secutech02/300350 賴秋萍 Iris 02-8729-1099 #536 iris.lai@taiwan.messefrankfurt.com 申請展位 ( messefrankfurt.com ) 1/1 < Previous Project Next Project >

台灣智慧安防工業同業公會 公會講座活動花絮 請點選相簿放大觀看 S__59613410 S__59613409 69764 S__59613410 1/12 DSC_3429 HS (112) 20201020_201020_6 DSC_3429 1/46 2020/12/18 邊緣 AI 運算於行動影像之應用 & 資安議題下的後海思時代、區塊鏈下談安防產業上鏈 講座 IMG_9185 IMG_9188 IMG_9181 IMG_9185 1/7 110.3.26 S__14557246 S__14557251 110.3.26 1/6 2021/03/26 AIoT安防新視界 講座 2021/06/23 智慧安防AI技術落地應用 線上研討交流會 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 人工智慧與深度學習於視訊監控之十八項武藝講座 HS (112) HS (111) 20201020_201020_6 HS (112) 1/46 2020 1016 公會辦公室啟用酒會 擷取 IMG_9188 IMG_9185 擷取 1/8 2020 1023 崛起於危機之中-談企業情境規劃講座 2021/07/22 線上第一屆第一次安控設備 資安技術暨介接標準委員會 2021/07/29 SECPAAS資安服務模式 與企業資安評級介紹 2021/08/11 門禁系統廠商意見徵詢 線上會議 2021/08/12 SECPAAS資安工具服務 線上體驗活動 2021/08/20 第一次門禁系統資安標準 制定草案小組 2021/09/03 第二次線上門禁系統資安 標準制定草案小組 2021/09/16線上 安防AI技術 與解決方案實務應用交流會 2021/09/23 第一次門禁系統資安標準 制定專家審查會議 2021/09/24 興創知能產業AI落地實證 與擴散會議 2021/10/04 昇銳電子產業AI 落地實證與擴散會議 2021/10/20 第二次門禁系統資安標準 制定專家審查會議 2021.1223安防產業趨勢發展研討會 謝君偉-人工智慧新發展應用於安防之未來 趙緝熙-建構資安的個資問題探討 2021.1223安防產業趨勢發展研討會 1/11 2021/12/23 安防產業趨勢發展研討會 1/10 2022/06/10 門禁系統資安標準認證-輔導 講座【第一部：一般要求】 S__59613410 S__59613409 20200807-第一次 S__59613410 1/14 2020 0814 Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image Add a Title Describe your image 1/4 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600 魔幻沙漠 摩洛哥 4/11-5/12 $600

< Back 安防產業Al出題精修班 台灣文創訓練中心-長安館C201室(台北市中山區長安東路一段27號2樓) 2022 0630 09:20~16:30 由經濟部工業局主辦，中華民國資訊軟體協會與台灣智慧安防工業同業公會共同協辦、財團法人資訊工業策進會執行的「安防產業AI出題精修班」，以協助安防產業領域之公司發掘內部AI智慧化轉型契機，將「AI x 安防」整併到既有的硬體產品，改善與突破現有營運模式並開拓AI應用為目標，創造產業整體經濟升級轉型。 本場活動共吸引了20家廠商、近30位同仁參與，現場聘請了中華民國資訊軟體協會AI大數據智慧應用促進會會長張榮貴為本活動主持人，並邀請在人工智慧領域非常專業的企業如：若水國際、雲守護安控、海盛科技、數據決策等公司至現場演講，並擔任解題顧問。這次活動將參與者分ABC三組討論後，由各組推派代表各出三個問題於現場表述，再由張會長與現場參與的講師顧問一同找出可以解決的方向。本活動在開始進行時，則由資策會AIGO計畫辦公室充分說明本次出題機制。 < Previous News Next News >

《CyberArk 2023身分安全威脅情勢報告》: 人類和機器身分數量預期將成長240％ 2023-10-27 說資安 新聞網 新聞來源： https://cybersecurenews.com.tw/industry-talk-034/ 「儘管攻擊手段不斷翻新，但侵害身分仍然是繞過網路防禦並存取敏感資料和資產的最有效方式，這樣的風險讓『信任誰和信任什麼』成為所有資安措施最首要工作，進而可以預防資安債的持續累積，並為組織建立長期資安韌性。」 今年八月，以身分安全著稱的資安服務廠商 CyberArk 發布《CyberArk 2023身分安全威脅情勢報告》的全球報告顯示，經濟環境不佳和AI等技術創新的速度，正在提高從身分切入的資安風險，將可觀察到，未來企業對數位和雲端計畫的投資速度將會高於資安投入，且快速擴大未受保護的身分攻擊面，這些種種因素可能導致「資安債」的持續擴大。 經濟緊縮加上數位轉型加速，使企業面臨更高風險 企業組織在2022年經歷了資安債的增長，主要因為疫情期間資安支出普遍落後於更廣泛的數位業務計畫投資。到了2023年，包括經濟緊縮、員工流動率升高、消費支出下降以及全球環境的不確定性等因素，更可能造成資安債的持續惡化。對於企業而言，為了能追求企業營運更大的效能與創新，企業領導者仍持續投資數位和雲端計畫，也因如此對於資訊安全可能會延燒的連鎖反應，不可言喻。我們來看看這次報告《CyberArk 2023身分安全威脅情勢報告》的幾個關於身分與資安的重點需關注的領域摘要內容。 93%受訪的資安專業人員中，對於2023年將會面臨AI威脅，其中AI生成的惡意軟體列為頭號憂患。 近九成的受訪組織（89% – 較2022年報告的73%增加）在過去一年中遭受勒索軟體攻擊，其中有60%的受威脅影響的企業支付了兩次或更多次贖金以期待復原資料，這顯示出他們很可能是雙重敲詐勒索攻擊的受害者。 67%的能源、石油和天然氣公司預計他們無法阻止或甚至偵測到來自軟體供應鏈的攻擊（相較於所有組織的59%）。但這個行業的大多數受訪者（69%）同時也承認他們在過去12個月中並未做好資安措施來改善此問題。 以身分為中心的攻擊面更為擴大 人類和機器的身分，對於駭客集團而言，幾乎是所有攻擊的核心目標，企業內近一半的身分必須存取敏感資料以完成其工作，因此成為攻擊的首選途徑。該報告也發現IT環境中的關鍵區域並未獲得足夠的保護，以致無法辨識出具重大風險的身分類型。如下幾個呈現受訪者的摘要。 63% 的受訪者表示，最高敏感性的員工存取未得到充分保護，且擁有機敏資料存取權的機器數量比人類更多（45% vs. 38%）。 憑據存取仍然是受訪者認為最大的風險（被35% 提及），其次是防禦規避（31%）、執行（28%）、初始存取（28%）和提權（27%）。 由於未知和未受管理的身分存取，關鍵商用軟體（例如對外的營收相關應用軟體、ERP和財務管理軟體）被視為風險最高的領域。只有 46% 的組織採取身分安全控管以保護關鍵商用軟體。 合作夥伴、顧問和服務提供商等第三方公司被認為是風險最高的人類身分類型。 69% 的受訪者表示，由於安全隱患，機器人流程自動化（RPA）和bot部署腳步放緩。 CyberArk 北亞區總監謝文駿表示：「即使在裁員和宏觀經濟的巨大壓力下，企業追求不斷提高業務效率和創新的渴望依然不減。以數位和雲端計畫為主的業務轉型不斷導致企業身分數量激增。 儘管攻擊手段不斷翻新，但侵害身分仍然是繞過網路防禦並存取敏感資料和資產的最有效方式，這樣的風險讓『信任誰和信任什麼』成為所有資安措施最首要工作，進而可以預防資安債的持續累積，並為組織建立長期資安韌性。」 企業用戶，可以進一步做什麼？ 落實零信任原則： 身分安全對於堅實的零信任實施至關重要。 受訪者表示，身分管理（79%）和端點安全/設備信任（78%）對支援零信任具有「關鍵」或「重要」的作用。 安全存取敏感資料的策略： 受訪企業計劃在2023年引入的三個改善身分安全的措施。JIT即時存取（32%受訪者）；採用最小授權原則保護業務關鍵應用軟體（32%）；以及自動供裝和撤銷存取權限（31%）。 與可信賴的合作夥伴整合： 超過一半的受訪者（51%）將尋求可信賴的資安合作夥伴的協助，以預測和規畫，未來資安風險解決方案。 關於《CyberArk 2023身分安全威脅情勢報告》 CyberArk 2023 身分安全威脅情勢報告揭露的是一份針對全球500名員工以上的公營或民營組織所做的調查。 此份調查由Vanson Bourne 市調公司對全球 2,300 名資安決策者所進行。受訪單位遍布巴西、加拿大、墨西哥、美國、法國、德國、義大利、荷蘭、西班牙、英國、澳洲、印度、以色列、日本、新加坡和台灣。請由以下連結下載完整報告： https://www.cyberark.com/threat-landscape/ < Previous News Next News >

< Back 中華軟協【小型企業人力提升計畫】教育訓練補助申請 2023年3月20日 上午4:56:48 資料來源： 中華民國資訊軟體協會 中華民國資訊軟體協會 與 勞動部勞動力發展署 合作舉辦【小型企業人力提升計畫】， 課程內容請詳見連結： https://bit.ly/405iMJ9 歡迎有興趣的廠商踴躍參與～ 🤖下一波 AI浪潮強力來襲！您的企業準備好了嗎？ 中小企業看過來！教育訓練費用，政府全額補助！ 簡單申請、免計畫書👍 企業培訓，政府補助最高25萬 💰 中華民國資訊軟體協會 X 勞動部勞動力發展署 合作舉辦【小型企業人力提升計畫】 參與計畫並接受輔導的企劃，可免費參與課程😍 立即查看課程： https://bit.ly/405iMJ9 課程詢問窗口📧 中華軟協 王專員 jason.wang@cisanet.org.tw 小人提計畫申請請洽： 中華民國全國中小企業總會 宋先生 (02)2366-0812 #191 ________________________________________ 產業服務處 專員 王貞允 電子郵件: jason.wang@cisanet.org.tw 電 話: (02)2553-3988 分機：621 傳 真: (02)2553-1319 會 址: 台北市103承德路二段239號6樓 網 址: https://www.cisanet.org.tw ________________________________________ < Previous Next >

< Back 第一屆第一次籌備會議 集思北科大會議中心(303室) 2019 Oct 19 14:00~16:00 主要議案： 1、審查章程草案(章程草案須由籌備會議審查後提大會通過)。 2、籌備期間聯絡地址及會務人員案。 3、討論會員入會申請流程、申請書格式、並登報公開徵求會員。 臨時動議： 1、公會英文名稱案。 < Previous Next >

Check Point: 明年八大網路安全趨勢預測 2023-11-06 資安人 新聞來源： https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10786&mod=1 與去年同期相比，今年前三季全球平均每週網路攻擊增加了 3%，尤以台灣為受攻擊次數最多的地區，各組織平均每週遭受 1,509 次攻擊。 Check Point Software Technologies Ltd. 發佈 2024 年網路安全趨勢預測，列舉組織在未來一年將面臨的安全挑戰。根據 Check Point 威脅情報部門 Check Point Research，今年網路犯罪活動遽增，與去年同期相比，今年前三季全球平均每週網路攻擊增加了 3%，尤以台灣為受攻擊次數最多的地區，各組織平均每週遭受 1,509 次攻擊。同時，勒索軟體和駭客激進主義已進一步演變，犯罪分子再度調整其手段和工具，利用 USB 等傳統技術作為威脅途徑，企圖感染及影響世界各地的組織。 2024 年八大網路安全趨勢預測 趨勢一：人工智慧（AI）和機器學習（ML）興起 AI 導向的網路攻擊興起： AI 和 ML 已成為網路安全領域的熱門話題，明年將會有更多攻擊者利用 AI 加速和擴展攻擊工具，目的可能是節省成本、加速開發新型惡意軟體和勒索軟體，或是使用 Deepfake 技術將網路釣魚和假冒攻擊（impersonation attack）提升至新的水平。 以 AI 對抗 AI： 如同網路犯罪份子，組織也可善加利用 AI 和 ML 來加強防禦，目前網路安全領域對於 AI 的投資已相當可觀，而且隨著更多組織意識到防範高階威脅的重要性，這種投資將有增無減。 監管 AI 所帶來的影響： 歐洲與美國在規範 AI 應用方面已取得顯著進展，隨著相關計畫的推進，未來無論是攻擊或防禦行動，相關技術的應用方式都將有所改變。 趨勢二：駭客瞄準雲端算圖農場以存取 AI 資源 雲端網路攻擊的新目標： 隨著生成式 AI 逐漸普及，運行這些龐大模型的成本迅速攀升，甚至可能高達數千萬美元；駭客因此將雲端上的 AI 資源視為有利可圖機會。駭客專注於在雲端建立算圖農場，以籌措資金支持其 AI 行動，如同幾年前，雲端運算資源是加密挖礦的主要目標，2024 年雲端算圖農場將成為攻擊焦點。 趨勢三：供應鏈和關鍵基礎建設攻擊加劇 供應鏈中的零信任模式： 針對關鍵基礎建設的網路攻擊增加，特別是由國家支持的網路攻擊，將推動組織轉向「零信任」模式，即不論人員處於內網或外網，任何試圖連接到系統者都必須經過驗證；隨著各國政府頒佈更嚴格的法規來保護個資，組織必須提前應對這些新的法律框架。 供應鏈仍是弱連結： 頻繁的供應鏈安全事件對組織來說仍是挑戰，且會造成深遠的影響。若組織無法更嚴格地評估第三方供應商，這種情況恐將延續。 加強安全協議： 近期針對供應鏈的攻擊事件凸顯了強化安全協議的必要性。由於網路犯罪分子經常瞄準下游供應商，以侵害上游大企業，組織必須更加審慎評估及實施安全協議，以防範進一步的攻擊。 趨勢四：網路保險面臨轉變 AI 在保險業的應用： 如同其他產業，AI 將改變保險公司評估潛在客戶網路韌性的方式，且將為這些公司創造機會，直接提供網路安全服務。然而值得注意的是，AI 本身無法解決所有網路安全挑戰，公司必須權衡其安全性和便利性。 採取預防措施以降低投保費用： 有鑑於上漲的網路保險成本和人才短缺問題，組織開始從被動防禦轉向更有效的主動防禦，透過展示其主動防禦能力來降低投保費用。 趨勢五：由國家支持的駭客激進主義恐將延續 曠日持久的網路戰： 俄烏戰爭是由國家支持的網路攻擊行動之重大里程碑。地緣政治動盪將延續至明年，駭客激進主義行動在網路攻擊的佔比將持續增加，特別是旨在造成擾亂和破壞的 DDoS 攻擊。 隱藏真實動機： 雖然許多駭客組織利用政治立場作為發動攻擊的理由，但背後可能別有居心。駭客激進主義和商業主義之間的界線模糊，攻擊者選擇將勒索軟體攻擊作為資助其他活動的收入來源。 趨勢六：深度偽造（Deepfake）技術成為攻擊武器 Deepfake 武器化： 該技術通常被當作武器來創造內容，操縱輿情或股票價格，甚至用於更可怕的目的。這些工具在網路上唾手可得，攻擊者將繼續使用 Deepfake 社交工程攻擊來竊取權限和存取敏感資料。 趨勢七：網路釣魚攻擊持續危害企業 網路釣魚與合法工具：對攻擊者而言，「登入」軟體比「侵入」軟體容易得多。多年來，各產業建構了多層防禦體系來偵測和防止針對軟體漏洞的入侵，但考量到網路釣魚相對容易執行與成功，明年將會出現更多憑證盜竊攻擊，而非漏洞攻擊。 進階網路釣魚策略：基於 AI 的網路釣魚策略恐變得更加客製化且猖獗，導致識別其惡意意圖的難度更高，網路釣魚攻擊事件也隨之增加。 趨勢八：勒索軟體不斷演變 離地攻擊（Living Off the Land）戰術盛行： 「離地攻擊」技術（即利用合法系統工具執行攻擊）預計將大幅增加，尤其 Qbot 等惡意軟體網路已被聯邦調查局等機構聯手摧毀。這種更加狡詐的方法更是難以偵測和阻止，凸顯採用複雜威脅防護策略的必要性，包括可精準定位裝置和網路行為異常的擴展防禦與回應（XDR）服務。 防勒索軟體存在資料風險： 儘管組織加強了勒索軟體防禦，但資料遺失及洩漏事件恐增加，主要原因可能是組織越來越依賴 SaaS 平台儲存應用程式服務中的敏感數據，這為惡意實體（malicious entities）提供了可利用的新載體和漏洞。 解讀勒索軟體報告： 勒索軟體攻擊的統計數據可能受到新制定的報告要求而產生失真狀況，因此組織在分析威脅的真實範圍和規模時，必須審慎地剖析這些統計數據，以正確解讀報告。 2023 年發生多起大規模攻擊，可觀察到網路犯罪分子不斷升級其手段和工具。在當今的威脅環境中，各組織不僅要專注於制定資安防禦策略，還要嚴格審查第三方供應商。此外，有鑑於 AI、零信任模型和 Deepfake 技術的興起，組織投資更全面、協作且整合式的解決方案，比以往任何時候都更加重要。面對層出不窮的攻擊手段，Check Point 提醒組織應保持警覺，共同打造有效的網路威脅防禦體系。 < Previous News Next News >

< Back 安防AI技術與解決方案實務應用交流會 線上視訊會議 2021 0916 14:00~16:30 本會於2021年9月16日下午2時辦理線上【智慧安防AI技術落地應用研討交流會】除了邀請本會會員昇銳電子及利凌企業分享安防AI技術運用領域外，特別邀請AI新創企業：興創知能、寶蘊凌科、太奇雲端及傑精靈資訊科技等，就影像辨識分析技術之新應用進行交流，並探討軟硬整合或跨業合作的新商機；本次活動計有32家企業、62位來賓參與，平均線上人數達40人次以上。 < Previous News Next News >

[專訪] 身分安全治理SailPoint: 駭客首要竊取的是「權限」 2024-02-26 說資安新聞網／作者 潘后儀 新聞來源： https://cybersecurenews.com.tw/industry-talk-040/ 資安事件原因很多，企業內部人員的疏漏比來自外部惡意程式攻擊的風險為之更高。我們可以如何「雙協助」，協助企業風險降低，也協助企業內部人員避免成為資安事件發生的肇事者呢? 2月中旬大家是否留意到一則新聞，關於日本東京電力公司出面說明當月7日，福島第一核電廠發生含放射性物質水外洩的事故原因，是作業人員忘記關閉手動閘門，「人員疏忽」的原因。這讓我想起SailPoint台灣區總經理傅孝淇也曾提到，資安事件原因很多，企業內部人員的疏漏比來自外部惡意程式攻擊的風險為之更高。我們可以如何「雙協助」，協助企業風險降低，也協助企業內部人員避免成為資安事件發生的肇事者呢? 「零信任」網路部署成效的發揮 身分安全治理成為關鍵 自2020年疫情影響大幅度的改變大家工作模式，增加遠距工作型態，系統資料上雲與服務的雲端化，過往所談及的內外網隔離幾乎已成泡沫，取而代之的為「零信任」網路部署，永不信任必須驗證的概念，「零信任」觀念已是國家級的資安政策，我國政府持續的推廣與施做中，然而零信任架構是否能發揮出成效，對於能否在目前面臨雲地混和的IT環境中，持續治理身分安全和存取權限管控，將是一大關鍵的檢驗。 傅孝淇分享這幾年觀察台灣企業資安部署的現象，她發現台灣企業沒有專責身分安全部門的設立且持續使用過去傳統方式管裡各部門人員身分權限的使用，例如使用excel表單或是IT與OT部門，各管各的身分存取權限，連同機器設備的身分管理方式亦然。她表示今非昔彼，企業身分安全(Idenfity Security)管控不再只是員工專享，非員工的身分也必須納入其內，例如第三方的合作夥伴、供應商、臨時人員、甚至是機器人員工和數位設備等都需要入列被保護。因此，企業必須捨去傳統式的管控身分安全，否則會持續發生令人難以挽回資料外洩或是資安威脅事件的憾事。 網路安全漏洞9成來自身分安全因素 傅孝淇敘述兩個案例，一個是高科技製造業，製造業視職權壁壘分明是常規，當企業營運各部門階層人員的身分或是職權產生衝突時，對內部治理是一大災難，可能會產生越權的現象或是事情被擱置無人處理。另一案例，則是資安威脅事件發生的原因，來自企業內部的孤兒帳號，當員工離職後企業未盡妥善的身分帳號處理，當離職員工的孤兒帳號又同時具備重要的權限，駭客潛入企業內順勢就可利用孤兒帳號，輕而易舉竊取內部機敏資料且大肆勒索企業一番。這呼應了去年(2023)我閱讀SailPoint所發布的年度研究報告《The Horizons of Identity》訪問北美洲、拉丁美洲、亞洲和歐洲近 350 名網路安全高階主管，統計調查顯示超過90%的網路安全漏洞與身分有關， 由此可知 企業組織裡身分安全是資安領域內不能輕忽的一環，因為身分安全很有可能就是最大的一個資安破口 。 企業要導入身分安全治理的門檻高嗎? SailPoint是現今全球企業身分安全治理的服務廠商，台灣區總經理傅孝淇自稱接觸客戶總以身分安全治理的傳教士精神為出發點，因為SailPoint來到台灣以專注教育市場且投入大量身分安全治理在地化服務(Local Service)為使命，在台灣除了原廠業務及技術人員的支援外，還有數家本地專業的資安服務代理商深耕服務客戶。傅孝淇表示當企業認知每一位員工，包含機器人員工都具備最小權限的管理，有了這些基礎觀念與認同後，企業接續規劃發展身分安全治理會是順利的起點，她也進一步提醒企業資安人員，不能只認為身分安全只有Single Sign-On (SSO)身分驗證解決方案或是多因子認證（MFA）， 而要 從企業全面的安全管理到每位員工的身分存取開始到結束的生命周期性整體性思維來延展身分安全治理的觀念。 再者，企業日後如果考量導入微服務（Microservice）、容器(Container)技術、元宇宙（MetaVerse）虛擬技術、智慧聯網IoT等，這些科技進入企業營運，身分安全的建置的需求無可倖免，同時須留意企業無法單憑人力或是單一產品，有效進行治理與保護身分安全，而是需要具有可擴充性、可配置性及能自動執行的機制，如此才能協助企業迅速解決系統使用權限配置的複雜性與避免成為駭客的幫兇。 身分安全治理是「權限」的守護者 對談最後傅孝淇拋出看待資安事件發生的思維，她說大眾或是企業一旦聽聞資料外洩或是資安威脅事件發生，第一時間就是聯想到駭客、社交工程攻擊、勒索惡意程式等，這樣想沒錯也是需留意的，但是我們深究下去，試問駭客潛入企業內部最終目的是為了什麼? 答案是，為了取得資料(Data)。企業的資料外洩諸多來自內部系統身分安全權限被破解，當駭客潛入企業網路內部，除了掌控內部系統的權限外，還取得機敏資料肆意妄為，所以駭客首要竊取的是「權限」。因此，身分安全治理是奠定企業安全紮實的地基也是「權限」守護者。 < Previous News Next News >