在数位技术日益普及的世界里,我们都想要不断去除阻碍各种创新与进步的因素,然而,组织对外有骇客、恶意软体等网路威胁虎视眈眈,对内有心怀不轨或网路卫生习惯不佳的员工、合作伙伴,渗透手法千变万化、无孔不入,只有想不到,却没有做不到,从而导致大家必须付出更巨大的成本,建构可信赖的工作与生活环境。
而由于数位世界长期面临信任危机,资安领域开始有专家倡议解决此问题的框架,也就是如今人人耳熟能详的零信任(Zero Trust),在这股风潮逐渐形成的过程中,我们持续向台湾IT界介绍这样的观念,例如,在2018年7月,我们发布封面故事《零信任!重新定义资讯安全模式》向大家说明,隔年我们用「Never Trust, Always Verify」来诠释零信任,并对比过去的「trust but verify」,突显传统资安存在著「信任先于验证」的盲点。
后续我们持续报导零信任的发展动态,像是2021年7月发布的封面故事《零信任资安时代来临》,2022年8月发布《ZTA 101》帮大家整理NIST公布的重要参考标准文件SP 800-207,台湾也在这一年揭露零信任网路战略,定调政府零信任架构将分三大阶段进行,依序聚焦「身分鉴别」、「设备鉴别」、「信任推断」,2023年8月底,我们也发布封面故事《拓展零信任应用,台湾启动资安采购商机》,报导政府与产业推动身分鉴别的成果,当时已有11家厂商推出的解决方案(8家国产厂商、3家外商),通过政府零信任架构身分鉴别功能符合性验证,截至今年3月底,又增加两家国产厂商。
而在另一份政府零信任架构身分与设备鉴别功能符合性验证通过名单中,也列出两家国产厂商。
至于信任推断,数位发展部资通安全研究院已公布政府零信任架构信任推断功能符合性验证检核表,但目前尚未公布功能符合性验证的厂商。
事实上,信任推断是更加考验厂商技术实力与投入发展意愿的指标,我们曾经询问几家外商,他们对于政府推动的零信任架构都无法提出具体支援的承诺,甚至有些表示要客制而面有难色。
原本我们认为这类型的零信任解决方案,因为厂商的产品与技术无法就绪,可能难以如政府预期的时程开始推动,没想到在5月举行的2024台湾资安大会,我们真的看到有厂商端出这类型解决方案,而且一口气出现三家,他们都是出身台湾本土的资安厂商,当中有公司是创立二十多年的老将,有近年来在国际资安市场发光发热的新秀,有持续耕耘资安技术的电信厂商龙头。
我们之所以发现这些厂商能提供信任推断解决方案,纯属意外!
首先是在大会第二天的主题演讲,曜祥网技在介绍他们对于零信任的理念与自身提供的产品时,「信任推断」这项功能赫然出现在他们主打的功能特色当中,演讲结束之后,我们向他们确认此功能的开发缘由,他们表示,是依据国家资安院的检核表进行开发的,以符合法规的要求,而在该公司的展区当中,这套名为「零信任管理系统扩充」的解决方案,也成为主要的展示重点。
第二家我们发现提供信任推断功能的资安厂商,是这几年来扬名海外的奥义智慧,他们是目前唯一且连续多次参加MITRE ATT&CK 评测的台湾本土厂商,在今年台湾资安大会第二天下午的演讲,他们也介绍自行开发的决策控制器/信任推断模组XCockpit ZeroTrust。
第三家我们注意到具有信任推断技术的厂商是中华电信,他们在大会第一天下午的演讲,介绍他们开发的xTrust零信任网路系统,这套解决方案其实去年就已经在台湾资安大会亮相,到了今年扩增信任推断机制。
除了许多台湾厂商积极布局零信任架构,今年台湾资安大会期间宣布成立的后量子资安产业联盟(PQC-CIA),我们也看到已经有台湾厂商秀出他们的解决方案,例如,资深的电子邮件服务与安全厂商网擎资讯,他们长期发展的Mail2000邮件伺服器部署后量子加密技术,去年8月他们已宣布这项消息。
除了上述厂商,台湾目前有许多资安公司正在不断努力实作,积极拓展AI、OT、万物联网等各种创新领域的资讯安全保护机制,我们的超前部署不只是公共卫生、当今热门的AI硬体加速晶片制造等领域,资安产品与产品资安都会是台湾能够为世界做出巨大贡献的领域。