資訊安全新知分享
NEITHNET 資安實驗室
許多企業雖然目前皆廣泛使用「多因素驗證保護機制」(Multi – Factor Authentication,MFA),但仍存在潛在的風險,甚至多因素驗證保護機制的疲勞攻擊是目前備受矚目的攻擊手法,例如:駭客可以透過多因素驗證保護機制傳送多次登入申請,讓使用者誤觸登入許可,順利登入系統進而竊取公司內部重要資訊,這種高效率攻擊手法被不肖人士廣泛使用。
為了防範這種攻擊模式,可以建立零信任架構的網路環境,所謂「零信任架構」(Zero Trust Architecture),是基於「永不信任,持續驗證」為基本原則,在這個架構下須重複、多方驗證建立信任才得以順利讀取資料。零信任是一個概念、原則,簡單來說就是需要獲得驗證才可以有進入系統或軟體的權限,而不是信任某些設備或裝置,或是允許來自某些地方的連線,若在系統上只加入多因素驗證保護機制仍不夠安全,最好的方式是在每個存取動作加入身分驗證、權限控管或加解密機制,來達到最全面性的保護。
在過去的模式中,同一家公司辦公室的所有電腦、伺服器、其他設備,因為彼此信任,所以都是彼此可以互通的,像是工作上使用的電腦可以直接連接所在樓層的印表機,並直接執行列印的動作,公司內部的網路設定通常都是以互相信任為基礎的設計,無經過太多的審查機制,缺少驗證身分、權限控管的動作則容易讓攻擊者找到漏洞而有機會潛入企業內部中,企業的安全則沒有保障。
其實零信任架構並非是要求系統或設備都不要信任,而是希望能透過這個最基本的原則來重新建立信任,並在建立過程中找出不值得信賴的資源存取模式,藉此擬定新的資安策略來對其進行全面性規劃,讓身分驗證、權限控管成為第一道安全防線,再加上存取權限記錄,讓企業的網路安全有更完善的防護。