數位安全(Digital Security)(又稱為網路安全(Cybersecurity))是一門多面向的學科,旨在保護數位資產、資料與系統,避免遭受未經授權的存取、攻擊、洩露或破壞。它涵蓋了廣泛的技術性、程序性與策略性措施。
保護數位身分(Digital Identity)、資料、網路和系統需要結合多種做法、工具和策略。常用的數位安全類型包括應用程式安全、雲端安全(Cloud Security)、端點安全、資訊安全與網路安全。
數位安全的三個核心要素概括其主要目標。這些要素稱為 CIA 資安鐵三角,包括:
- 機密性(confidentiality) 確保未經授權的個人無法存取敏感資訊。這通常透過加密、存取控制以及安全的通訊協定來達成。
- 完整性(integrity) 確保資料在其整個生命週期中保持準確、完整且可靠。常用的技術包括校驗碼、雜湊、數位簽章以及版本控制系統。區塊鏈也日益被用來確保資料的完整性。
- 可用性(availability) 確保資料、服務與系統在需要時皆可存取。這通常透過負載平衡、故障切換、冗餘,以及業務連續性策略來達成。
數位安全的類型
數位安全相當複雜,包含多種控制措施,其中包括以下幾項。
存取控制
存取控制會強制執行規則,只允許經授權的個人檢視與使用特定的應用程式、資料或系統。這項資料安全流程會執行原則,以驗證使用者的身分並確保授予適當的存取控制層級。
應用程式安全
應用程式安全是在應用程式的開發階段中建構數位安全,以防止應用程式內的資料或程式碼遭竊取或劫持。一旦應用程式部署完成,還需要額外的應用程式安全措施,用來識別並修補軟體應用程式及應用程式介面 (API) 中的漏洞。
雲端安全
雲端安全用來保護雲端上的應用程式、資料與基礎結構。它包含專為軟體即服務(Software as a Service , SaaS)、平台即服務 (Platform as a Service , PaaS) 以及基礎結構即服務 (Infrastructure as a Service , IaaS) 環境所設計的數位安全工具。
網路安全
網路安全用來保護網路基礎結構及其傳輸的資料,避免未經授權的存取,以維護其完整性與可用性。它涵蓋硬體與軟體技術,並著重於數位安全,以確保通訊路徑、網路設備,以及與其連接的伺服器與用戶端裝置的安全。
端點安全
端點安全在端點或使用者裝置的進入點提供數位安全,諸如電腦(例如工作站、筆記型電腦、檔案伺服器與網頁伺服器)、行動裝置,以及物聯網 (Internet of Things , IoT) 裝置。當透過連線裝置存取企業網路時,它能保護企業網路的安全。
物聯網 (IoT) 安全
IoT 安全提供專門的數位安全措施,以保護由連線裝置(例如印表機、監控攝影機、工業感測器與機器人)所產生與交換的資料之機密性、完整性與可用性。
威脅情報與應變
威脅情報與應變計畫結合技術、流程與程序,協助組織識別潛在威脅、支援做出明智決策,並啟動最佳的緩解措施。威脅情報源自於對潛在威脅資訊的收集與分析,而這些資料來自多種來源。
事件應變包含對安全事件的準備與回應,並需具備偵測、分析、隔離、根除以及復原的計畫。
治理、風險管理與法規遵循
治理計畫為政策與控管措施的選擇、實施、維護與執行提供架構,以降低風險並協助遵循法律與產業法規(例如一般資料保護規範(GDPR)、加州消費者隱私權保護法 (CCPA)、健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI-DSS))。治理的一部分是部署與管理數位安全控管與政策,以符合這些嚴格的要求。
數位安全的最佳實務與解決方案也用於風險管理,以支援持續性的風險評估與威脅建模。
數位安全應用程式
常用的數位安全應用程式如下所述。
應用程式資料安全
- 持續監控新出現的威脅
- 強制執行安全程式編寫實務,包括採用安全程式編寫標準(例如 OWASP Top Ten),以及透過靜態與動態分析與評估進行定期程式碼審查,以識別漏洞
- 實施網路應用程式安全,包括防護常見的網頁漏洞,例如跨網站指令碼 (XSS) 與跨網站請求偽造 (CSRF)
- 防止未經授權的軟體安裝
- 將可執行檔限制在核准清單內
- 使用 Web 應用程式防火牆 (Web Application Firewall , WAF) 進行即時威脅偵測與預防
驗證與存取權限控制
- 實施存取控制機制,例如角色型存取控制 (Role-Based Access Control , RBAC),以提供精確的權限;以及屬性型存取控制 (Attribute-Based Access Control , ABAC),以支援動態的存取政策
- 將生物識別技術整合至驗證系統
- 需要多因子驗證 (Multi-Factor Authentication , MFA) 和單一登入 (Single Sign-On , SSO)
人工智慧 (AI) 與機器學習 (ML)
- 威脅情報自動化
- 自適應數位安全措施
- 用於主動威脅緩解的預測性分析
- 威脅情報資料的快速分析
- 根據即時的風險與情境評估調整安全態勢
- 根據風險等級的變化動態更新存取控制
- 實施自適應的存取政策,能根據使用者行為與情境進行調整
區塊鏈
- 確保關鍵資訊的完整性
- 讓使用者能夠掌控其身分資料
- 保護分散式帳本技術以防止竄改
- 用於可追溯性,以防止偽造
資料保護
- 強化資料庫系統,以防止未經授權的存取
- 要求端到端加密,包括靜態資料加密、資料庫加密,以及針對敏感資料的全磁碟加密
- 將敏感資料標記化,用非敏感資訊取代敏感資訊
- 使用資料遮罩來隱藏資料庫中的特定資訊
雲端架構
- Docker 和 Kubernetes 等環境的容器安全
- 身分與存取管理 (Identity Access Management , IAM)
- 零信任模型 (Zero Trust Model)
- 在持久性儲存區中加密靜態資料
- 將容器安全事件整合到組織的安全資訊和事件管理 (SIEM) 系統中
- 利用存取控制,將容器的權限與許可限制在最低需求
- 使用網路安全政策來控制 Pod 之間的流量
- 強制執行基於時間的存取控制,以管理臨時或專案特定的許可
- 要求在登入時啟用多因子驗證(MFA),以提升安全性
- 利用身分聯合來確保在本地端與雲端環境中使用者身分的一致性
- 使用單一登入(SSO),讓使用者能以一組認證存取多項服務
- 預設情況下,不信任任何使用者,無論其所在位置、裝置或資源
- 持續驗證使用者與裝置的身分
- 依據最小權限原則(Principle of least privilege , PoLP),定期檢視並更新存取權限
端點資料安全
- 部署進階的防毒與防惡意軟體解決方案
- 實施政策以管控周邊裝置的存取
- 防止透過外部裝置進行未經授權的資料傳輸
- 定期更新病毒定義,以提供即時防護
- 使用端點偵測與回應 (EDR),以持續監控端點活動,並在端點事件發生時具備即時回應能力
物聯網 (IoT)
- 在 IoT 生態系統中加密通訊管道,以保護 IoT 裝置與伺服器之間傳輸的資料
- 為韌體與軟體實作安全的無線 (OTA) 更新
- 保護與 IoT 生態系統相關的互聯裝置、網路與資料
網路安全
- 設定具狀態檢查與應用層的防火牆
- 實作入侵偵測和防範系統 (IDS/IPS),並具備以下功能:
- 使用虛擬私人網路 (VPN) 與安全通道,以進行遠端通訊
- 行為分析,包括異常偵測與即時監控,以識別偏離正常行為的情況
- 基於特徵碼的異常偵測
數位安全風險的類型
數位安全風險層出不窮,並隨著威脅行為者不斷尋求利用漏洞、領先於網路安全技術的進步而持續演變。以下列出幾項最常見的數位安全風險。
進階持續性威脅 (APT)
APT (Advanced Persistent Threat)是一種長期且具針對性的攻擊,通常由老練的攻擊者(如國家級行為者)所發動。其目標是在不被發現的情況下滲透網路,並持續維持存取,以竊取資料或長期破壞網路運作。
雲端安全風險
雲端環境相關的風險包括資料外洩、不安全的 API,以及錯誤配置的儲存貯體。這些風險可能導致敏感資料外洩,或使攻擊者能夠入侵並危害雲端資源。
物聯網 (IoT) 漏洞
許多 IoT 裝置的安全功能有限,使其容易成為攻擊者的目標。IoT 漏洞包括修補程式管理不善、預設密碼強度不足、缺乏加密、韌體過時,以及不安全的 API。遭到入侵的 IoT 裝置可能成為入侵大型網路的入口點,並被利用於殭屍網路攻擊。
憑證填充攻擊和密碼攻擊
這些攻擊利用遭竊或外洩的認證,未經授權地存取使用者帳戶。自動化指令碼常在多個網站上測試大量認證,利用弱密碼和重複使用的密碼進行攻擊。
資料外洩
資料外洩是指敏感資料遭到揭露或竊取,通常是由於安全控制薄弱、設定錯誤或內部人員行為所導致。資料外洩可能造成財務損失、聲譽受損,以及遭受監管處罰。
阻斷服務 (DoS) 與分散式阻斷服務 (DDoS) 攻擊
這類攻擊會向目標系統或網路發送大量流量,造成資源過載,使合法使用者無法存取服務。DDoS 攻擊常被用來製造干擾,以便同時利用其他攻擊向量。
內部人員威脅
內部人員威脅來自員工、承包商或合作夥伴,他們可能蓄意或意外地濫用其存取權限。由於這些人使用合法的系統與資料存取權限,並利用內部知識擴大權限,因此這類威脅往往難以偵測。
惡意軟體攻擊
惡意軟體(Malware)是一種旨在滲透、破壞或干擾系統的具有惡意的軟體。其類型包括病毒、勒索軟體(Ransomware)、間諜程式與蠕蟲,可能竊取資料、鎖定檔案或干擾系統運作。
中間人 (Man in the Middle , MitM) 攻擊
在 MitM 攻擊中,攻擊者會秘密攔截雙方之間的通訊。這使攻擊者能夠竊取敏感資料,例如登入認證,或在雙方毫無察覺的情況下操控交易。常見的 MitM 攻擊途徑包括未加密的 Wi-Fi、網路釣魚(Phishing)與 DNS 欺騙。
影子 IT
當使用者在未經 IT 團隊授權或不知情的情況下安裝未經授權的應用程式或服務時,就會產生影子 IT。這些未經核准的工具可能會繞過企業安全原則,進而引入漏洞,危及網路安全。
社交工程
社交工程(Social Engineering)透過操縱人員來繞過安全通訊協定,往往導致認證竊取或財務損失。一種廣泛使用的社交工程手法是網路釣魚,攻擊者會透過偽造的電子郵件、網站或訊息,誘使使用者洩露敏感資訊。
供應鏈攻擊
攻擊者會入侵第三方供應商、軟體或服務供應商,以滲透目標組織。供應鏈攻擊(Supply Chain Attack)利用信任關係,而且往往在造成損失前難以察覺。
零時差漏洞
零時差漏洞攻擊的目標是尚未被發現且未修補的軟體漏洞。這類攻擊特別危險,因為它們在資安團隊察覺新的攻擊向量(Attack Vector)之前就已經發動。
數位安全工具
防毒與防惡意軟體
偵測、阻擋並移除惡意軟體,例如病毒、勒索軟體、間諜程式與特洛伊木馬程式。
應用程式安全測試 (DAST/SAST/IAST)
在軟體應用程式的開發階段 (SAST)、執行階段 (DAST) 或互動式測試 (IAST) 中,識別漏洞。
瀏覽器隔離
將網頁瀏覽活動與網路或端點隔離,以防止來自高風險網站的惡意軟體感染。
憑證管理
自動化數位憑證的簽發、更新與撤銷,以維持安全的通訊。
雲端安全態勢管理 (CSPM)
持續監控雲端環境,以偵測並修正設定錯誤與違反法規。
資料外洩防護 (DLP)
防止敏感資料遭到外洩、遺失或被未經授權的使用者存取。
資料遮罩與標記化
透過以遮罩或標記化版本取代敏感資料,來降低暴露風險並加強保護。
欺騙技術
部署誘餌(亦稱為蜜罐),以在入侵過程的早期引誘並偵測攻擊者。
數位鑑識與事件應變 (DFIR)
協助進行入侵事件的調查、收集證據,並在事後支援法律或法遵需求。
加密
透過將資料轉換為安全格式來保護資料機密性,無論資料處於靜態或傳輸狀態。
端點偵測與回應 (EDR)
持續監控並回應針對端點(如筆記型電腦與行動裝置)的威脅。
防火牆
根據預先定義的安全規則,監控並控制進出網路的流量,以阻止未經授權的存取。
身分安全
用於保護使用者身分及相關存取權限的三種主要工具類型包括:
入侵偵測和防範系統 (IDS/IPS)
識別並回應未經授權的存取或利用網路資源的企圖。
多因子驗證 (MFA)
透過要求多種驗證方式來強化登入安全性,例如:
- 您知道的事物(知識因子)
- 您擁有的物品(持有因子)
- 您本身的特徵或屬性(固有因子)
行動裝置管理 (MDM)
在組織內保護並管理行動裝置,以強制執行安全原則,並在需要時遠端清除資料。
網路存取控制 (NAC)
透過對嘗試連線的裝置強制執行安全原則,以限制對網路的存取。
密碼管理器
安全地儲存並管理使用者與系統的強式密碼,以降低與密碼相關的風險。
修補程式管理
自動化套用安全修補程式與更新至軟體與系統的流程。
特權存取管理 (PAM)
保護、管理並監控具備高權限使用者的存取,以降低內部與外部威脅。
安全電子郵件閘道 (SEG)
過濾惡意電子郵件、網路釣魚企圖與垃圾郵件,以防止基於電子郵件的攻擊。
安全網路閘道 (SWG)
保護使用者免受惡意網路流量影響,並強制執行網際網路政策合規。
安全資訊和事件管理 (SIEM)
彙整並分析整個網路的安全資料,以即時偵測可疑活動。
虛擬私人網路 (VPN)
透過加密通道安全地路由網際網路流量,以保護使用者隱私與資料完整性。
資安協作自動化應變 (SOAR)
整合並自動化安全營運工作流程,以加速事件回應。
威脅情報平台 (TIP)
彙整、分析並共享內部與第三方威脅資料,以提升主動防禦能力。
網路應用程式防火牆 (WAF)
透過過濾與監控 HTTP 流量來保護網路應用程式,以阻止攻擊,例如 SQL 注入與跨網站指令碼 (XSS)。
零信任網路存取 (ZTNA)
透過持續驗證每位使用者與裝置,在授予網路存取前強制執行嚴格的存取控制,即使在網路邊界內部亦然。
數位安全是企業的當務之急
大多數組織都認同,鬆散的數位安全並非可行選項,而高階數位安全對每一家企業而言至關重要,因為它能在面對快速增加的資料生成、儲存與傳輸,以及不斷演變的威脅與漏洞環境時,確保 IT 營運成功、具韌性且值得信賴。
組織中的安全專業人員與其他利害關係人可以協作,實施一套整合先進技術措施、嚴謹治理以及主動風險管理的全面策略。這種整體性的方法通常是最有效的數位安全運用,並能提供對抗複雜且持續性威脅行為者的最佳防禦。
免責聲明:本文件所載資訊僅供參考,文件中所述的任何內容均不構成任何形式的法律建議。SAILPOINT 無法提供法律建議,並建議您就適用的法律問題諮詢專業法律顧問。
