因應新型態資安威脅情勢，使得全球更多企業、組織與政府開始思考，該如何適當且有效地將零信任資安架構融入營運之中。趨勢科技也在今（8）日邀請擁有20多年的美國聯邦政府資歷的趨勢科技首席技術策略長David Chow現身說法，以美國政府的網路資安實戰經驗為借鏡，說明如何建構務實彈性的零信任架構以落實資安政策，助台灣企業與政府組織在數位轉型過程中更妥善掌握風險可視性，實踐資安治理縱深防禦。

趨勢科技呼籲企業組織應以「風險管理」取代「合規」思維，方能在數位轉型過程中更妥善的掌握風險可視性，提升數位資安韌性

目前在網路環境複雜且邊界不明的情況下，推動零信任（Zero Trust）資安架構在全球已是大勢所趨。台灣金管會也自去年底推動金融資安行動方案2.0，要求銀行應逐步落實零信任；美國政府更率先發布行政命令，要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫，並鼓勵私人企業跟進。

然而，在企業導入的過程中，經營團隊卻容易面臨無法持續投入、資金不足、甚至從根本上忽略了資安重要性的情況，使得相關部署陷入窒礙難行的困境。David Chow分享曾擔任美國住房及城市發展部（Housing and Urban Development, HUD）首席資訊長的經驗，並指出：「HUD過去遭遇最大的挑戰，即是除了因為技術不足而侷限資安視野，加上長期缺乏資金投入，也沒有相對應的安全評估和計劃。僅僅採用初階身分與存取管理（IAM）查核程序與相對分散的管理架構，讓部門面臨了龐大的技術負債（Technical debt），並且隨著時間累積產生越來越高的修正成本。」

如今，有別於過往認為網路在被發現遭到入侵之前都是安全的，現採用「零信任」為基礎的網路架構卻是基於「永不信任、持續驗證」原則，涵蓋從身分驗證、裝置、網路、應用程式與工作負載到資料等六大面向，認為任何個體與身分在獲得信任、並持續維持信任之前，皆不可信。首先必須強化組織整體資安意識，提高網路安全計劃的成熟度；並且在資源有限時，進行集中化管理來提高效率。

同時創建一套系統化且可重複使用的流程，來確認網路安全風險等級，確保從網路、工作負載、數據、用戶到端點的威脅可視性，並充分利用技術以減少錯誤發生。針對資安威脅部署一致性的回應策略，再按照數據與行為模式來建構多層次即時防禦機制，還應提高技術部署的透明度和適當審查流程，並在DevSecOps流程中導入明確的安全規範作為依循準繩。

「相較於過去多數企業選擇規避風險，以營運為主要考量，對於先進技術採用相當緩慢，資安經營上以追求符合政府與法律規範為目標。」趨勢科技認為，如今多數企業已經意識到資訊安全對於利潤、技術和威脅層面將帶來更深遠的影響，轉而積極佈建零信任架構，同時將資安防護與風險管控的概念內化為經營策略的一部分，採用能夠集中化可視性與風險回應的安全管理架構，達到降低成本亦提高組織競爭力的要求。

對此，David Chow表示：「建立成熟零信任架構的過程的確需要投入一定程度的資源，也可能改變公司組織結構，但長遠來看是相當重要且不容忽視的。企業必須定義出明確的目標，以風險驅動而非合規驅動的角度出發，才能打造出屬於自己、完整且持續進化的絕佳網路風險管理能力。」

針對平衡風險管理與有限運營資源，趨勢科技台灣區暨香港區總經理洪偉淦也指出：「企業面對日趨嚴峻的網路攻擊事件，普遍面臨資安示警轟炸以及人力不足的問題。在資安系統中整合延伸式偵測及回應架構（XDR），不僅幫助企業透過更全面、有效率的方式評估風險和威脅，更能獲得絕佳的資安風險可視性，在面臨風險時即時回應，進而達成零信任目標，在數位轉型的道路上行走的更加穩健。」

趨勢科技將自5月9日開始，連續3天於共同主辦的CYBERSEC 2023台灣資安大會中，展出協助企業建構零信任資安風險管理的Vision One，與強化雲端可視性及風險管理的Cloud One；同時偕旗下車用資安公司VicOne與5G資安公司CTOne，分別展示汽車智慧連網與安全座艙與5G企業專網資安解決方案。此外，趨勢科技也將在新興科技領域中，展示數位資產與區塊鏈防護產品方案，全面協助企業組織強化並提升數位資安韌性。