零壹攜手Akamai共推360度資安防護 全方位抵禦駭客威脅

【為什麼我們要挑選這則新聞】資安風險對企業來說一直都是最難處理的問題之一，尤其當現今駭客組織的攻擊手法越來越精準時，防攻技術更是一大挑戰。

乘載全球 30% 網路流量的雲端遞送平台 Akamai 與其台灣代理商零壹科技，將深度拆解企業資安的最大弱點，告訴讀者現今駭客組織最新的攻擊手法有哪些？並教你如何成功抵禦駭客攻擊！（責任編輯：陳美羽）

面對日益嚴峻的資安威脅，全球企業與政府單位均意識到傳統單打獨鬥、仰賴單一設備的防禦機制，早已無法對抗駭客組織的攻擊手法。為此，企業積極引進多元資安設備之外，各國政府之間積極推動跨域聯防機制，如金管會成立金融資安資訊分享與分析中心（F-ISAC）之餘，並定期要求臺灣金融產業定時舉辦資安演練，以強化面對資安威脅時的處理能力。

企業該如何面對駭客組織的「精準攻擊」？

由行政院資安處舉辦、甫落幕的跨國網路攻防演練（Cyber Offensive and Defensive Exercise，CODE 2019），有別於過去採用的情境演練方式，2019 年首度改採實兵演練方式，測試臺灣產業應付駭客攻擊的能力，現場亦有來自美國的資安專家到場，提供與會人員二天的資安實務教育訓練。身為臺灣最大資安解決方案代理商的零壹科技，也獲邀參與此次資安盛會，協助與會人士運用多品牌設備打造資安區域聯防機制。

零壹科技資深協理鄭淑芬說，現今駭客組織正以精準攻擊手法，針對特定組織漏洞進行入侵，全球各地均傳出有不少大型企業受害。零壹科技認為企業若要有效降低資安攻擊帶來的衝擊，必須打造涵蓋閘道端、端點設備、雲端平台等 360 度面向的資安防護機制，將獨立運作的資安設備串連，搭配專業的技術服務團隊，才能有效保護企業的安全。零壹科技擁有超過百位經驗豐富的技術顧問，能提供全方位產品線與技術協助，是企業強化整體資安能力的最佳夥伴。

用「零信任」模式，減少企業被駭的機率

Akamai 臺灣香港經銷通路經理江艾玲認為，近來企業投資在資安防護多半採用驗證、信任的防護模式，但當駭客組織竊取某位員工的安全憑證之後，就可輕鬆存取公司內部網路的任何資源，成為資安防護上的漏洞。Akamai 推動的 Zero Trust Security（零信任）模式，是遵循永不信任、始終驗證的原則，即所有連線存取均需要進行驗證。

儘管不是全新的理論，但卻能透過多層次的資安防護建立一致性與堅固的防護機制，讓企業應用存取安全得到保護。此舉，能有效管理員工的上網行為外，亦可避免受到惡意網站或程式的干擾，減少企業被駭客入侵的機率。

為協助運用 Zero Trust Security 模式提高防護力，Akamai 多年來持續強化資安產品線，除了備受全球用戶肯定的 DDoS 資安防護機制外，陸續推出 Kona Site Defender、Bot Manager、Identity Cloud 等解決方案，助企業建構 360 度資安防護機制。

API 經濟興起，隱藏驚人資安風險

在新資料經濟來臨之際，為滿足消費者多元需求，驅動企業透過 Open API 串連跨界資料，投入各種創新服務的研發。根據 Gartner 研究報告指出，2021 年將有 65% 新應用將經由 API 串接，成為備受全球關注的 API 經濟，而在 Akamai 發佈的「2019 網路／安全現狀報告：零售攻擊和 API 流量報告」中指出，現今 API 服務約佔網路流量的 83%，大部分屬於數位轉型和雲端應用部署等應用。

在亮眼的 API 經濟背後，卻隱藏容易被忽略的資安風險。早在 2017 年 OWASP 公布的前十大資安風險中，就列入企業正面臨 API 攻擊防護能力不足、API 未受保護等兩大問題。而多數企業內部的 WAF 設備，都是針對 Web 應用程式設計，根本無力保護 API 主機的安全，因此至今衍生出憑證濫用、DDoS 攻擊、應用程式層等不同面向資安威脅。

Akamai 資深解決方案顧問角純純指出，現今多數企業對 API 保護意識仍然相當薄弱，甚至有企業誤以為當 API 服務不收費時，就不需要額外加入防護機制，這種似是而非的觀念，正是引爆資安威脅的主要原因。當駭客組織將惡意程式植入 API 主機後，只要消費者透過電腦或手機存取相關服務後，就可能被植入殭屍或木馬。