工研院与蔚蓝云联手化繁为简,助力擘建自动化的零信任安全环境 智能应用 影音
Microchip
ST Microsite

工研院与蔚蓝云联手化繁为简,助力擘建自动化的零信任安全环境

  • 陈其璐新竹

(左)工研院资通所组长卓传育博士 (右)蔚蓝云策略谘询总监黎嘉龙。DIGITIMES摄
(左)工研院资通所组长卓传育博士 (右)蔚蓝云策略谘询总监黎嘉龙。DIGITIMES摄

根据CloudMile万里云集团所做的网安趋势大调查,显示高达近五成企业,曾遭遇网安事故,影响范围涵括网站、端点装置、服务系统应用程序。尤其值得一提,近年网安事件场景不再仅有IT环境,举凡OT或IoT环境的事件数量,均呈现快速激增之势。

无庸置疑,近年备受关注的「零信任」,可谓解决物联网网安问题的最佳解方。工研院资通所组长卓传育博士解释,因攻击样态越来越多,防御系统再怎麽厉害,仍难全面捕获所有恶意程序;唯有落实零信任,才能透过「永不信任,一律验证」原则,适时阻断任何可疑活动。

工研院资通所组长卓传育博士分享自动化网络控管技术 Janus 的功能,与蔚蓝云顾问服务结盟合作,加速市场拓展。DIGITIMES摄

工研院资通所组长卓传育博士分享自动化网络控管技术 Janus 的功能,与蔚蓝云顾问服务结盟合作,加速市场拓展。DIGITIMES摄

蔚蓝云策略谘询总监黎嘉龙分享网安议题,已与工研院 Janus 团队皆累积诸多零信任专案实绩,并针对各个风险提供解决对策建议。DIGITIMES摄

蔚蓝云策略谘询总监黎嘉龙分享网安议题,已与工研院 Janus 团队皆累积诸多零信任专案实绩,并针对各个风险提供解决对策建议。DIGITIMES摄

不论IT或OT环境,皆有必要导入零信任,但在OT环境的实作挑战更大。此乃因为,OT场域内存在许多老旧系统,无法更新,亦无法安装 Agent,所以需要采取不一样的思维或设计,方能顺利启动零信任机制。

着眼于此,工研院Janus团队决定与CloudMile万里云集团旗下的技术顾问公司 Electrum Cloud 蔚蓝云携手合作,藉由蔚蓝云的零信任策略谘询服务,结合工研院悉心孕育的自动化网络控管技术 Janus,打造简单有效的零信任网络架构实践模式,让企业摆脱复杂的产品、技术和策略障碍,在无需网安高手随侍在侧,仍可在智能医院、智能工厂、充电桩等OT场域成功实施零信任网络架构。

以网络分舱分流,缩小网安事件灾损范围

蔚蓝云策略谘询总监黎嘉龙表示,谈到零信任,台湾许多企业都面临一大问题,即是缺乏顶尖网安人才,懂得综观身份认证、网络、装置、数据及应用等策略层面,思考及选择最合适的零信任方案。正因如此,多数企业即便知道实施零信任至关重要,却不知如何起步。

所以蔚蓝云决定与工研院的Janus技术合作。环顾零信任网络架构,微网段隔离(Micro Segmentation)是其中的关键一环;无论大中小型企业,都迫切需要引进相对简单的方法来部署微网段隔离,做为展开零信任旅程的起点。

卓传育补充说,OT世界的重点在于不中断,务求降低风险,故需藉助微网段隔离技术实现分舱分流,如此哪怕任一机台或区域遭到入侵,都不影响其他产线运行。持平而论,只要娴熟交换器或防火墙设定规则的好手,皆有可能利用现有机制达到网段隔离,但一来这样的人才稀缺、昂贵,二来还需要随时因应产线调整而更改设定,门槛高且负担重,徒增企业留才难度。

「 Janus的功能并不简单,而是嵌入自动学习演算法,藉由自动化来减少专业人力投入需求,」卓传育说,用户只要布建Janus Box、运作一段期间,就能自动建立该网段的正常行为基线、自动形成白名单规则、自动执行规则把关,遏阻任何异常活动运行。工研院扮演技术研发角色,力求Janus能被轻易部署和运用,需要仰赖蔚蓝云的顾问服务与市场拓展经验,将此技术运用到对的地方,接触到对的客户。

策略谘询+自动化网络控管,打造高CP值零信任架构

黎嘉龙分享,他观察不少台湾企业都有相同处境,不知自身OT环境有哪些资产,所以不知风险何在、不知风险对企业的影响、不知如何制定网安策略,再来也缺乏自动化机制来发现潜在网安威胁、应对风险。

此时蔚蓝云可为企业提供零信任评估服务,同时利用 Janus 盘点OT环境所有设备的IP、MAC Address、Host Name, 再佐以其他程序还原完整资产样态,进而让企业理解「假使什麽防御都不做」的风险何在,再评估这些风险可能对企业产生何等影响;另外引导企业理解应该优先处理哪些风险,及所需执行的网安项目与方案部署、投资价值等,形成一套涵盖流程、治理、风险与财务要素,且契合NIST零信任指引准则的完整蓝图。

更重要的,蔚蓝云会综合评估网安项目的投资成本、学习成本、系统整合、自动化等环节,协助网安长计算零信任投资的 CP 值,以便于向董事会申请预算。

卓传育重申,现阶段企业对零信任的认知,不外乎是人员监别、设备监别,再下一步就跳到信任推断,其实若参酌NIST标准,其间亦需实施微网段隔离,才能确保从人、设备到网络一路受到管控。而工研院研发 Janus,为的正是补强这道缺口,甚至与市场上一般微分段方案形成区隔,不要求OT业主对外提供情资日志,Janus本身即可自主监控、学习、生成规则,彻底翻转网安服务的生态。

截至目前,蔚蓝云与工研院 Janus 团队皆已累积诸多零信任专案实绩。例如蔚蓝云协助某金融机构执行零信任评估,从环境中挖掘出接近二十个高优先级别的风险,建议在未来12个月内修补完毕,并针对各个风险提供解决对策建议;对方有鉴于该评估报告深具严谨性与可行性,决定与蔚蓝云扩大合作,从原本聚焦在零信任的评估,扩大到后续的建置案。

至于工研院,则已将Janus成功布建于许多OT/IoT场域,例如协助医疗院所执行病床IoT传感器的网安风险管理;亦曾协助智能制造场域分析工厂内正常网络行为,进而为各个网段建立有规范的安全隔离;此外与网通、储能或充电桩等多样性设备商合作,针对要出货给最终客户的产品内部叠加网安服务,消弭日后遭受入侵与攻击的风险。

展望未来,蔚蓝云除了以量化方式协助客户计算网安投资价值与优先顺序,更诉诸零信任国际标准之专业谘询,持续整合工研院 Janus 技术,助力客户打造一个基于 AI 智能核心的自动化安全环境。