【Wired 硬塞】到底什麼叫「零信任」?答案其實取決於你想聽到什麼

網路資安界裡大家最想要的並不是任何一種特定的產品或系統,而是一種能減少最多災害的方法。
評論
Photo Credit:iStock
評論

原文來自 Wired《What Is Zero Trust? It Depends What You Want to Hear》,作者 Lily Hay Newman。台灣康泰納仕集團授權提供,由 Linden Chen 翻譯並經 INSIDE 編審。

最近幾年「零信任」這個概念是網路資安非常流行的用語之一,以致於即使是聲名狼藉、行動緩慢的美國聯邦 IT 機構也正在全力實現「零信任」。但廣泛採用這種下一代安全模型的關鍵障礙,是對「零信任」術語的實際意涵有很大混淆。隨著網路釣魚、勒索軟體和商業電子郵件裡的網路攻擊數量一直不斷創新高,有些事情必須要改變,而且改變的速度要快。

從問題核心來看,組織對網路、IT 基礎建設的基本思考模式已有大改變,而零信任跟這有很大關係。過去的模式中,辦公大樓裡面所有的電腦、伺服器和其他設備,都位在同一網路中,而且彼此信任。你工作用的電腦,可以連接到你所在樓層的列印機,或在共享伺服器中找到團隊共用檔案。像是防火牆、防毒軟體等工具會被設定成把組織外部的任何事都看成壞事;而網路內部的一切,卻不需要太多審查。

不過你可以看到,現在越來越多移動設備、雲端服務、遠端工作從根本上挑戰過去的假設。組織無法實質控制員工使用的每一台設備;即便組織可以,也不會像是之前那種統一管理的舊。一旦攻擊者突破這些外圍防禦,遠端或實質滲透到組織裡,組織網路才會給他們相對應的信任與權限。此刻的網路資安從來不像舊模式「外面是壞的,裡面是好的」那樣簡單。

「大概在 11 年前,我們在 Google 確實遭受到一次重大且複雜的攻擊,讓公司的網路受害,」Google 網路資安資深總監海瑟・阿特金斯(Heather Adkins)說。由中國政府資助的駭客駭入 Google 網路後洩露了數據和代碼,表示他們正在試圖建立後門,以便被 Google 踢出去時,他們還可以重新進入。「我們意識到,過去我們所認知建立企業網路的方式已經沒有意義了。所以我們失敗後重新再來。現在,如果你走進 Google 大樓,就像走進星巴克一樣。即便有人能夠進入 Google 的電腦,電腦也不會相信他。對攻擊者而言,一切變得更困難,因為我們已經改變戰場的樣貌。」

「零信任是個概念,而非行動。」-肯・威斯汀/網路資安研究員

零信任需要人們證明他們應該得到進入權限,而不是信任某些設備,或是來自某些地方的連線。通常這代表除了使用者名稱和密碼以外,還得需要生物識別、硬體安全金鑰,才能登入公司帳戶,也讓攻擊者更難冒充使用者。即便有人能通過重重關卡,它也是把這些人視為需要知道或需要取用這些資料。這就像是如果你沒有把提供承包商報價單列入工作清單,你的公司帳戶就不會和任何網路收費平台有任何關聯。

如果你和很多的零信任倡議者談過,你會整件事情聽起來有點像宗教。他們一直強調零信任不是一個你可以安裝的軟體,或者是你可以打勾檢查的框框,而是一種哲學、一組概念、一套口頭禪、一種心態。他們會用這種方式描述零信任,部分原因是過去有不少行銷雙關巧語和宣傳的 T 恤把零信任描繪成萬靈丹,但他們現在想要扭轉這種觀念。

「供應商聽到新的時髦詞語後,會嘗試把已經擁有的產品包裝成這樣:現在你的零信任度增加了10%!」獨立網路資安研究員肯・威斯汀說。他的職涯中,曾經和很多資安產品業務與行銷團隊共事過。「這是有問題的,因為零信任是個概念,而非行動。你還是必須要裝載裝備、軟體清單、網路分區隔離、進入管制等。作為產業的一份子,我們必須更有誠信,尤其是在組織面對所有攻擊和真正威脅時——他們根本沒有時間處理這些狗屁倒灶的事。」

對零信任的真正意涵與目的混淆,會使得人們更難以實踐這些想法。倡議者基本上同意「零信任」這三個字背後的總體目標和目的,但忙碌的主管或 IT 管理員有其他要擔心的事情,很容易找錯解方,最後他們實施的安全保護措施,只是強化既有舊方法,而不是引入新思維。

「過去 20 年來,網路資安產業做的只是在添加更多華而不實的東西——像是 AI 和機器學習,但卻都還是在相同的方法論中打轉,」基於零信任原則成立的反網路釣魚公司 MetaCert 創始人兼執行長保羅・華許(Paul Walsh)說。「如果不是零信任,那都還是在傳統的安全觀念裡面打轉,無論你添加什麼都一樣。」

不過,雲端服務商特別能夠把零信任概念融入他們的平台,幫助客戶在自己的組織裡採行這些概念。但 Google Cloud 首席資安長菲爾・瓦納布斯(Phil Venables)指出,他和團隊花了很多時間和客戶討論零信任的真正意涵,還有他們怎麼把這些原則應用在自己的Google Cloud 及其他用途上。

「簡直是一團亂。」他說。「客戶告訴我,『我以為我知道什麼是零信任,但現在每個人把一切都描述成零信任,我對零信任的了解反而越來越少。』」

除了為零信任這三個字的意涵找到一致解釋,零信任觀念的最大障礙是,目前大多數使用的基礎設施,都是在舊的護城河網路模型下設計的。要改造系統,實現零信任,並不是件容易的事,因為新舊兩種模型的設計方式根本就不同。

因此,在組織內任何地方實施零信任,背後的想法可能牽涉大量投資,重新打造保留系統(legacy systems,指某家公司經過很長時間使用,具有多年軟體開發和數據累積的大型電腦系統,提供不能拋棄的現有服務)也可能帶來很多不便,而這些正是造成零信任永遠無法完成的風險來源。

儘管拜登政府有計劃改造美國政府的零信任系統,但得需要大量的時間和金錢投資才有可能,這讓聯邦政府實施零信任顯得令人氣餒。CISA(美國網路與基礎建設安全局)前網路資安助理總監珍妮特・曼法拉(Jeanette Manfra)在 2019 年底加入 Google,親眼目睹從政府 IT 部門到各大科技巨頭,以零信任為重點改造內部基礎設施造成的差異。

「我來自這樣的環境:投資大量納稅人的錢保護非常敏感的個人數據、任務數據,也看到你做為使用者所歷經不同觀念的摩擦,尤其在安全導向的機構中更是如此,」她說。「作為使用者,你可以擁有更高的資安防護能力及更好的使用體驗,對我而言這很吸引人。」

這並不是說零信任就是資安萬靈丹。擁有資安專業,卻被聘請來攻擊組織,了解該組織數位弱點的人員,通常稱為「紅隊」。他們已經開始研究如何可以闖入零信任網路,在大多數情況下,闖入還沒有升級成具有零信任思維的網路是很容易的。

「一家公司把基礎設施變成在公司外也能運作,並和零信任供應商一起把這些設施放在雲端上,將會關閉一些傳統的攻擊路徑,」長期擔任「紅隊」成員的西崔克・歐文斯(Cedric Owens)說。「但坦白說,我從來沒有在一個完全「紅隊」或完全零信任的環境下工作。歐文斯還強調,雖然零信任概念可以用來實質強化組織的防禦力,但也不是萬無一失。他指出,雲端上的錯誤配置只是公司過度到零信任時,可能無意間引入的缺失之一。

曼法拉說,很多組織需要一段時間才能完全理解零信任方法的優點,而不是他們過去幾十年來所依賴的老方法。但她也補充說明零信任的抽象本質也有好處,從概念和原則出發,讓特定軟體在設計時,具有靈活度和潛在的使用壽命,這是以特定產品為框架出發所辦不到的。

「從哲學上來說,零信任對我而言似乎很耐用,」她說。「想知道你的系統接觸了誰、被誰接觸,對理解與防禦而言,多少都是有用的事。」

責任編輯:Chris
核稿編輯:Anny

延伸閱讀:



阿物科技《B2B 數位轉型白皮書》提出 B2B 數位行銷十大趨勢、六大具體方針指引

以 MarTech 見長的阿物科技(awoo)提出一份《B2B 數位轉型白皮書》,為企業剖析為什麼現在必須立刻實施 MarTech 計畫,以及如何找到最佳的行銷途徑。
評論
Photo Credit:Campaign Creators on Unsplash
評論

疫情席捲全球,人們的生活與工作模式與以往大不同,全球商務與貿易生態也改變了。不只避免人與人連結的「零接觸經濟」成為當代顯學,講究以人為本、科技賦權的「行銷 5.0」時代也已然到來。換言之,現在的企業不能僅是完成傳統數位化(例如只是把資料 e 化),還必須實施新一代科技的數位轉型,將線下的規模延伸至線上,並善用「行銷科技 MarTech」以帶來真正的獲益成長。

三個必須展開 B2B 數位行銷的理由

改變既有 B2B 行銷模式、思考數位轉型是必須的嗎?答案是:沒錯。根據阿物科技《B2B 數位轉型白皮書》中的資料顯示:B2B 的買賣雙方的工作型態已逐漸往數位靠攏,諸如:透過視訊會議互動、上網搜尋相關資訊等,再再顯示線上發展的必要性。

此外,B2B 買方採購決策者,也樂於透過線上管道與品牌互動聯繫、獲取產品與服務資訊,而非實體面對面;反映到銷售數字上,則是 B2B 買方比起過去更願意透過線上或電商採購,誠如顧問公司麥肯錫調查指出,疫情期間 B2B 企業減少了 34% 的面對面銷售、增加了 10% 的線上模式,明確指出疫情為商務帶來的影響。

另外,由於科技與數位變遷,許多技術到位,進而驅動行銷變革,也就是說,當數位行銷、線上銷售已成為標準配備,企業若要鞏固其專業性與權威性,行銷數位轉型便是無法迴避的任務。更重要的是,由於愈來愈多的企業轉型為數位工作型式,也就是客戶(或說買家)多已構築線上溝通的生態基礎,因此要與客戶接觸最好的方式,便是跟著轉往線上,搶佔商機。

總之,在外部環境(全球疫情影響)、數位變遷(即至科技,或說行銷 5.0 時代的到來)、買方行為(數位工作型態)等三大元素交織的時間點上,建立 B2B 線上行銷生態系是一條必須踏上的明確道路。

立即下載:《B2B 數位轉型白皮書 - 以數位行銷力決戰 2022》

B2B 數位行銷十大趨勢,以及具體執行策略

阿物科技《B2B 數位轉型白皮書》對於當前 B2B 數位趨勢提出十大觀察,包括:

  1. B2B 通路,數位渠道將佔 8 成。
  2. B2B 企業 Y 世代上位,逾 7 成握有採購決策。
  3. 2019 年疫情爆發前 B2B 電商營收達 12.2 兆美元,超過 B2C 營收規模,預估 2027 年全球 B2B 電商營收將達 20.9 兆美元。
  4. B2B 與 B2C 模式將趨於一致,在行銷模式上將難以區分 B2B 還是 B2C。
  5. B2B 台灣賣家數於國際電商平台激增 3 倍。
  6. B2B 貿易受疫情影響,全球 1,200 個展會延期或取消,或改以線上進行。
  7. B2B 經營內容與 SEO 是行銷趨勢。
  8. B2B 需經營品牌,並同步經營社群,讓企業成為市場上的意見領袖,留住忠誠粉絲與潛在客戶。
  9. B2B 行銷需善用 SEO 智慧賦能,如透過自然語言處理(NLP)分析內容文本、電腦視覺(CV)分析網頁產品情境,為產品貼上特徵標籤,以供使用者搜尋意圖之預測,也讓 SEO 從字元比對升級為「意圖比對」,以呈現更精準的搜尋結果。
  10. 數據驅動、內容為王,行銷不只以「人」為中心,也要以「物」為中心同時洞察行為與意圖數據。

種種趨勢意味著,建立 B2B 數位轉型的線上化行銷生態系,是當前 B2B 企業不可迴避的任務。阿物科技也在白皮書中提出具體做法,透過「以 SEO 為核心+電商行銷」的架構建立,結合 SEO 關注的「關鍵字、網頁優化、內容經營」與電商行銷的「導流、導購、會員經營」帶入 B2B 模式,進而完成從導流到導購的 B2B 內容行銷與 SMarketing1,以及會員經營、再行銷,創造顧客終生價值。

(註1)SMarketing:意即 Sales+Marketing,指的是企業如何結合行銷與銷售團隊,讓雙方得以合作並完成業務目標,例如建立共同的語言、建立共同的工作流程等。

立即下載:《B2B 數位轉型白皮書 - 以數位行銷力決戰 2022》

六大方針助攻 B2B 企業成為數位行銷常勝軍

綜觀 SEO(搜尋引擎最佳化) 與內容行銷趨勢、B2B 買賣雙方的痛點與現象、影響現況的三大元素(疫情來臨、數位變遷、世代交替)等考量,阿物科技也在白皮書中提出 B2B 企業與電商行銷數位轉型的六大方針指引:

  1. 掌握數位行銷發展趨勢,舉凡 SEO 搜尋引擎優化、內容行銷經營、社群媒體擴散、權威領導聲量(KOL)等概念,皆須有所了解。
  2. 要有「數據驅動,內容為王」的雙核心管理。
  3. 採取「以 SEO 為核心、以電商行銷為架構」的 B2B 行銷數位轉型策略。
  4. 建立「長期、有效率、穩定的」買賣雙方的互動網絡與線上數位平台。
  5. 具備「得優質流量得天下」的 SEO/CRO 思維與行動,為「導流」建立深厚基礎。
  6. 導入「以 SEO 為核心的成長流量服務」,搶攻後疫情時代下的全球商機。

若企業渴望在全球 MarTech 潮流中一同乘風破浪,不妨立即展開電商行銷數位轉型,開啟 B2B 貿易的新大航海時代。

立即下載:《B2B 數位轉型白皮書 - 以數位行銷力決戰 2022》

瞭解更多:阿物科技的 MarTech 趨勢解密