作者序
早在2018年,我們曾製作《零信任!重新定義資訊安全模式》封麵故事,針對這個當時很多人仍然相當陌生,但已推動瞭9年的資安概念,整理齣發展歷程。
這幾年以來,隨著各種資安威脅的層齣不窮,像是惡意軟體、網路釣魚、進階持續性威脅(APT)、商業郵件詐騙(BEC),以至令人聞之色變的勒索軟體攻擊,甚至牽涉到B2B的供應鏈攻擊,已讓大多數使用者與企業逐漸體認到:唯有抱持著零信任的態度,纔有可能因為這種步步為營、近乎偏執狂的謹慎,而倖免於難。
對比今昔,市麵上,齣現瞭更多資安廠商打著零信任的旗幟。例如,最初是次世代防火牆廠商倡議;在兩年前我們報導時,看到雲端服務廠商、特權帳號管理係統廠商、身分存取與驗證係統廠商,會提及零信任;而到瞭更近期,則有網路管理係統廠商、檔案內容威脅解除與重組係統(CDR)廠商,分別從網路存取控製係統(NAC),以及端點預防係統等角度切入零信任,甚或是因武漢肺炎,而暴紅的安全存取服務邊緣解決方案供應商(SASE),也都在主打這樣的議題。
iThome在今年5月舉行的臺灣資安大會,主題定為:「TRUST : Redefined 信任重構」,同樣希望各界在這段期間能夠親自來到會場,與廠商與社群的資安專傢,一起來探討「信任」與「零信任」。例如,本次臺灣資安大會特別設立瞭「零信任論壇」,而在製造業資安與其他論壇,也都有幾場相關的演講。
而在這本資安年鑑當中,我們也精選瞭幾個特別報導,希望能夠讓大傢思考「零信任」的必要性,並且從網路威脅的探討、資安漏洞的揭露、攻守策略的規畫,更深刻地體認到過去在相關防護與管理工作的種種盲點,以及對應的解法,而且涉及的領域,涵蓋瞭一般企業、資安產業、產業資安。
而在《資安教戰守則》係列的文章當中,我們繼續介紹多種資安框架的活用方式,透過專傢的導引,讓大傢更瞭解資安框架的組成與規範,更懂得在自身所處的環境當中靈活運用。
特別的是,從Line公司採用全麵嚮資安發展策略的報導,同樣相當值得臺灣企業來藉鏡思考,因為他們著重的部分,不隻是為瞭針對自傢產品服務用戶的身分登入安全,強化更大的防護力,而是以技術、文化、人為主軸──推動安全開發、主動式防禦與自動化協作等技術,快速安全、外部溝通、開放性與資安品牌推廣等文化,以及發展資安技能開發與研究等人員層麵的提升。