從「零信任網路」到「雙零安全」

<p>如今，「零信任網路」已經成為市場上的流行詞，幾乎所有安全廠商都將自己的產品與它連結在一起。但「雙零安全」更進一步，強調安全性和生產力的同時提高。</p>

「雙零安全」是指安全產品對一般使用者來說零感受，對設備、工具機來說零影響。

這種方法旨在提供無縫且易於使用的安全體驗，確保安全措施不會影響生產力或設備和機器的性能。實施這種不會破壞使用者體驗或設備效能的強大安全解決方案，可以讓組織認識到資訊安全不是障礙，是企業平穩、安全營運的推動者。

著名安全先驅Bruce Schneier在他的部落格中寫道：

安全設計：停止嘗試糾正使用者

「我們的電腦系統安全設計得非常糟糕，我們要求使用者做所有這些違反直覺的事情。為什麼使用者不能選擇容易記住的密碼？為什麼他們不能隨意地點擊電子郵件中的連結？為什麼他們不能將USB隨身碟插入電腦而不用面臨無數的病毒？為什麼我們要嘗試糾正使用者而不是解決根本的安全問題？」

例如，我們應該努力在端點上盡量減少額外的安全監控程式、修補程式需要重新啟動的需求。對於網際網路的存取，應預設允許訪問任何網站，只拒絕真正的惡意威脅。

Gartner報告多次指出，安全事件的發生往往不是出於惡意，而是由於員工的無意行為（例如失誤或判斷錯誤）或為了工作方便而導致。因此，重點在於將安全解決方案無縫整合到工作環境中而不妨礙員工有效地執行任務。這種方法不僅可以增強整體安全性，而且還能創造一個易於使用且高效的工作環境，最終使整個組織受益。

實現「雙零安全」

我相信這應該成為所有安全產品設計的首要考量，尤其是網路服務供應商和電子郵件供應商，因為超過90%的入侵源自於網路釣魚電子郵件和使用者訪問了植入後門程式的不安全網站。

如果網路服務供應商開始向使用者提供Web隔離或企業瀏覽解決方案，就可以大幅降低風險。

其他例子包括實施生物辨識解決方案以實現無密碼用戶身份驗證、使用FIDO 2的單一登入、設備驗證憑證、具有預設分類標籤和自動檔案加密的Microsoft AIP資料分類解決方案、在網路層套用虛擬修補程式，就不需要重啟端點影響製造工具的效能。

我常用這樣的比喻：我們每天都會使用電、瓦斯和水，但是並不會停下來感謝那些供應商；我們認為這是理所當然的。我的願望是有一天我們在瀏覽網路、查看電子郵件或進行線上電子商務的活動時也不必擔心安全問題。（本文摘錄整理自《資訊安全管理領導力實戰手冊》，旗標出版提供）

書名 資訊安全管理領導力實戰手冊

屠震／著

旗標出版

定價：599元

圖片來源／屠震

作者簡介

屠震

屠震博士現任台積電全球安全負責人，全面領導全球網路安全、資料保護、關鍵設施與廠區實體安全管理、供應鏈安全管理，以及遵循查核與資安風險控管等核心業務。擁有超過30年資訊科技與資安經驗的屠博士，曾在雅虎 (Yahoo)、世邦魏理仕 (CBRE)、英飛凌 (Infineon) 和丹納赫 (Danaher) 等多家國際知名企業擔任高階職位。特別是在過去17年中，他專注於半導體與製造業的資安策略，成果卓越。