因应新型态资安威胁情势，使得全球更多企业、组织与政府开始思考，该如何适当且有效地将零信任资安架构融入营运之中。趋势科技也在今（8）日邀请拥有20多年的美国联邦政府资历的趋势科技首席技术策略长David Chow现身说法，以美国政府的网路资安实战经验为借镜，说明如何建构务实弹性的零信任架构以落实资安政策，助台湾企业与政府组织在数位转型过程中更妥善掌握风险可视性，实践资安治理纵深防御。

趋势科技呼吁企业组织应以「风险管理」取代「合规」思维，方能在数位转型过程中更妥善的掌握风险可视性，提升数位资安韧性

目前在网路环境复杂且边界不明的情况下，推动零信任（Zero Trust）资安架构在全球已是大势所趋。台湾金管会也自去年底推动金融资安行动方案2.0，要求银行应逐步落实零信任；美国政府更率先发布行政命令，要求联邦政府机构在2024年前制定推动零信任架构的运用计画，并鼓励私人企业跟进。

然而，在企业导入的过程中，经营团队却容易面临无法持续投入、资金不足、甚至从根本上忽略了资安重要性的情况，使得相关部署陷入窒碍难行的困境。David Chow分享曾担任美国住房及城市发展部（Housing and Urban Development, HUD）首席资讯长的经验，并指出：「HUD过去遭遇最大的挑战，即是除了因为技术不足而局限资安视野，加上长期缺乏资金投入，也没有相对应的安全评估和计划。仅仅采用初阶身分与存取管理（IAM）查核程序与相对分散的管理架构，让部门面临了庞大的技术负债（Technical debt），并且随着时间累积产生越来越高的修正成本。」

如今，有别於过往认为网路在被发现遭到入侵之前都是安全的，现采用「零信任」为基础的网路架构却是基於「永不信任、持续验证」原则，涵盖从身分验证、装置、网路、应用程式与工作负载到资料等六大面向，认为任何个体与身分在获得信任、并持续维持信任之前，皆不可信。首先必须强化组织整体资安意识，提高网路安全计划的成熟度；并且在资源有限时，进行集中化管理来提高效率。

同时创建一套系统化且可重复使用的流程，来确认网路安全风险等级，确保从网路、工作负载、数据、用户到端点的威胁可视性，并充分利用技术以减少错误发生。针对资安威胁部署一致性的回应策略，再按照数据与行为模式来建构多层次即时防御机制，还应提高技术部署的透明度和适当审查流程，并在DevSecOps流程中导入明确的安全规范作为依循准绳。

「相较於过去多数企业选择规避风险，以营运为主要考量，对於先进技术采用相当缓慢，资安经营上以追求符合政府与法律规范为目标。」趋势科技认为，如今多数企业已经意识到资讯安全对於利润、技术和威胁层面将带来更深远的影响，转而积极布建零信任架构，同时将资安防护与风险管控的概念内化为经营策略的一部分，采用能够集中化可视性与风险回应的安全管理架构，达到降低成本亦提高组织竞争力的要求。

对此，David Chow表示：「建立成熟零信任架构的过程的确需要投入一定程度的资源，也可能改变公司组织结构，但长远来看是相当重要且不容忽视的。企业必须定义出明确的目标，以风险驱动而非合规驱动的角度出发，才能打造出属於自己、完整且持续进化的绝隹网路风险管理能力。」

针对平衡风险管理与有限运营资源，趋势科技台湾区暨香港区总经理洪伟淦也指出：「企业面对日趋严峻的网路攻击事件，普遍面临资安示警轰炸以及人力不足的问题。在资安系统中整合延伸式侦测及回应架构（XDR），不仅帮助企业透过更全面、有效率的方式评估风险和威胁，更能获得绝隹的资安风险可视性，在面临风险时即时回应，进而达成零信任目标，在数位转型的道路上行走的更加稳健。」

趋势科技将自5月9日开始，连续3天於共同主办的CYBERSEC 2023台湾资安大会中，展出协助企业建构零信任资安风险管理的Vision One，与强化云端可视性及风险管理的Cloud One；同时偕旗下车用资安公司VicOne与5G资安公司CTOne，分别展示汽车智慧连网与安全座舱与5G企业专网资安解决方案。此外，趋势科技也将在新兴科技领域中，展示数位资产与区块链防护产品方案，全面协助企业组织强化并提升数位资安韧性。