【TechOrange 編輯部導讀】市場上許多預測指出,2023 年將是「經濟躺平」的一年。AWS 資安長 CJ Moses 在 2023 伊始提出了對 2023 年以及未來 6 大安全趨勢的預測,其中最為重要的訊息即是:企業不應該減緩在資安領域的投資力道。

緊扣著 CJ Moses 的 6 大預測,一起來看看:為什麼企業更應該在經濟躺平、企業不得不更勒緊褲帶的這一年,加大對資安的投入?

當今,世界各地甚至在外太空都在使用雲端運算。雲端的廣泛使用代表資料正以指數級速度大量儲存在雲端當中。2020年,人們每秒鐘產生 1.7 MB 的資料。根據預測指出,到 2025 年將產生 463 EB 的資料。同時,企業對雲端運算和資料的依賴越趨成長,隨著企業加速推動創新,資料安全對於業務的穩定成長和雲端運算的發展至關重要。

推陳出新的技術與人類的發展緊緊相扣,而我們也在兩者的交集中,看到了發展雲端安全的可能,並相信「自動化」將成為優化繁重工作的關鍵,使企業聚焦在雲端安全的規劃,並快速應對潛在安全事件。

以下也與大家分享 AWS 對於 2023 年及未來安全發展方向的觀點。

預測 1:安全成為企業每項工作中一環,「自動化」成為加速引擎

不斷增加的資安風險驅使用戶遷移上雲,因為安全是雲端的核心,雲端的每一個設計環節皆考量到安全。隨著自動化安全服務和工具的增加,企業將關注持續的安全性和合規性,以在數位轉型之初就創建更容易實現安全的環境。

企業客戶常常與我們分享他們如何透過雲端擴展業務,例如從地端的安全技術轉向以雲端運算為主共同的責任模型(由 AWS 負責雲端本身安全,企業負責雲端內部安全的共擔模型),利用雲端技術將安全的工作流程自動化,才能跟上業務成長的速度,並使業務環境更加安全。

在過去,雲端創新在資料中心的應用上並不常見,但如今雲端運算提供的創新資料防護幫助企業建構安全文化,並將安全融入到營運當中,使企業輕鬆兼顧業務成長與安全。

「安全」始於維護一個有效的安全計畫,包括管理身份許可權、保護網路和基礎設施、識別和應對威脅、資料保護及合規證明。雲端運算將這些任務自動化,例如:日誌記錄、監控、審計、修補以及整合現有工具集等。

透過安全管理存取控制服務 AWS Identity and Access Management(IAM)、安全標準化紀錄服務 AWS CloudTrail、加密和數位簽署資料金鑰 AWS Key Management Service(AWS KMS)、應用程式防火牆 AWS WAF,及雲端安全狀態管理 AWS Security Hub 等基礎工具,可以了解資料的儲存位置、存取者、存取時間、加密狀態、移動位置、可疑操作,以及是否容易受到常見的漏洞攻擊。雲端技術在未來幾年將持續發展,並進一步帶動自動化需求呈指數級成長。

另一方面,企業將更聚焦在持續的安全與合規。我們從企業客戶、合作夥伴和內部從事維護安全服務的開發人員之中瞭解到,雲端服務的快速創新使整合安全變得更加容易,並更進一步落實安全。

雲端安全服務和工具的易用性,使企業能提高開發速度和安全標準,從而安全地交付成果。例如使用自動化軟體漏洞管理 Amazon Inspector 和集中式營運中心 AWS Systems Manager 可以幫助企業自動為基礎架構的服務和應用程式打補丁,減少手動修補負擔,並簡化為多作業系統打補丁的過程,大幅提升工作效率。

》下載 TechOrange 2023 趨勢觀察報告《

預測 2:自動化並非萬能,招募「多元化」才能解決安全人才缺口

隨著雲端服務規模擴大,企業對於安全專業人員的需求也隨之成長,「多元化」正是解決此問題的關鍵。我們相信優先聘用具有不同教育和職業背景、擁有多樣性思維,以及來自不同文化背景的人才才能使企業在安全性方面有所突破。

TO 延伸閱讀:2023 資安防護的重中之重:70 萬資安生力軍仍填不了市場缺口,企業還能上哪找人?

截至 2021 年,全球約有 419 萬名資安從業人員,但目前仍存在 272 萬的人才缺口。彌補安全人力缺口是改善各地安全狀況的關鍵。企業可以優先考慮具有多元背景的面試者以縮小安全專業人才的缺口,例如透過宣導多元化、平等和包容(Diversity, Equity, and Inclusion,DE&I),並成立類似 Amazon Affinity Group 以重新評估招聘標準。

近半數安全專業人員的相關技能與經驗是在 IT 產業之外培養的,這是一件值得鼓勵的現象。如果企業根據態度和能力招聘員工並進一步培訓其技能,我們相信企業將能更加安全與成功。

此外,為取得大學教育和安全認證所付出的高昂費用,是不同背景的人難以進入 IT 產業的門檻之一,因此企業不應只局限於特定的技術學位和認證,而是嘗試招聘不同領域的人才。

TO 延伸閱讀:蘋果、Google、微軟攜手,一年內我們將迎接「沒有密碼」的時代

擁有多元背景的安全人員將為這個產業注入更獨到的安全思維,這將帶來更強大的防禦性。例如英國有些機構正積極雇用具有多樣性思維且善於觀察資料規律的員工。對我們來說,安全中的多元性不僅代表平等,也意味著企業能擴大內部解決問題的能力,以優化防禦水準。

多元化招募是 AWS 企業文化的關鍵。AWS 可以招聘沒有安全工作背景的人才,因為 AWS 相信提供安全培訓幫助員工成長並留住人才非常重要。我們深信教育是幫助個人和企業改善安全狀況的關鍵,為此我們免費為員工提供亞馬遜安全意識培訓(Amazon Security Awareness training)與導師計畫來鼓勵員工成長,並與年輕世代的夥伴建立連結,以推廣 STEM 教育。AWS 認為,雲端安全營運自動化也許能協助彌補人才缺口,但無法解決根本問題,「以人為本」還是提升企業安全性的首要任務。

預測 3:「人機協作」打造完善數位免疫系統的時代來臨,AI 扮演更重要角色

人工智慧(Artificial Intelligence,AI)與機器學習(Machine Learning,ML)有助於優化開發人員的工作流程、協助創建更可靠的程式碼、持續改善安全性,為雲端安全自動化的關鍵。

在雲端安全下一階段的演變中,人工智慧應用於威脅檢測和修復將更加普遍,且機器學習也將賦能安全工程師的技術能力,幫助他們在雲端中建立更安全的架構和應用。

此外,人工智慧與機器學習的預測能力可以提供企業客戶在面對不斷變化的威脅環境時建立更主動的安全情勢。近年來隨著居家辦公和混合辦公模式興起,人們在不同網域上的工作型態改變,更多的網路威脅也因應而生,例如威脅者會利用勒索軟體、網路釣魚和社交工程攻擊等方式勒贖企業資產。

在日益複雜的混合環境中,AWS 的服務如智慧威脅監測 Amazon GuardDuty、安全調查服務 Amazon Detective、程式碼檢查服務 Amazon CodeGuru 和資料安全服務 Amazon Macie 等,將為安全與機器學習整合奠定基礎,並透過智慧推薦為企業提供規模化支援。

這些具有機器學習能力的雲端服務可以快速反覆運算以獲取大量資料,查明異常情況並就安全性漏洞、代碼品質和潛在威脅提供智慧建議,為企業帶來許多益處。

2022 年台灣新生兒數僅 13 萬!

為提前到來的少子化時代做足準備,企業必須學會將 AI 化為最強「生力軍」!

→立即下載《TechOrange 2023 趨勢觀察報告

例如 Amazon GuardDuty 推出的 DNS 聲譽建模,將來自 AWS 的 DNS 請求輸入到模型中,並根據行為特徵將全新的功能變數名稱預歸類為惡意或良性的。AWS 發現 DNS 聲譽建模在商業威脅反饋前的 7 至 14 天,就能識別惡意網域,提供精準度極高的威脅檢測。

人工智慧和機器學習在安全領域的另一個應用是合規。由 AWS 所建構的人工智慧技術如自動推理,使企業能輕鬆瞭解複雜系統內的合規狀況,並自動檢測在全球資料集中的異常情況。

在過往,許多安全和合規的任務需要人工互相評估與更改權限,再加上被動式管理的模式,使許多工作困難重重。AWS 服務如雲端稽核自動化 AWS Audit Manager、安全管理存取控制服務 AWS Identity and Access Management(IAM)Access Analyzer 等工具能自動消除人工干預,使企業客戶在變動 IT 基礎設施前就能輕鬆瞭解其合規狀況與許可權資訊。

AWS Audit Manager 為企業所需的合規性框架(如支付卡產業資料安全標準、IoT 安全中心和美國國家標準與技術研究所 NIST)自動蒐集資料,無需仰賴即時人工評估。此外,不間斷的資料蒐集過程使企業能隨時調用所需的框架合規性報告。

IAM Access Analyzer 使企業可以監控自家的安全策略,防止資料被過度廣泛地存取。一旦策略被寫入,IAM Access Analyzer 就會在不需要人工干預的情況下監控授權。未來幾年安全的觀念將不斷進步,雲端供應商、合作夥伴網路和雲端使用者生態將進一步發展自動化能力,推動全球雲端安全的演進。

如上所述,人工智慧和機器學習驅動的安全創新幫助解決安全業者面臨的挑戰,例如降低安全營運中心(Security Operation Center,SOC)分析師的工作量,讓安全架構師有更多時間進行威脅建模,而不必驗證應用程式是否關閉防火牆,或是伺服器是否打了補丁。

目前我們只觸及到雲端安全領域 AI/ML 的皮毛。隨著雲端運算呈現指數級成長,安全需求也將隨之快速增長,並進一步驅動自動化和智慧驅動的安全需求。

預測 4:資料保護需求迅速上升,企業加大對資料保護的投入

隨著海量的資料呈指數級成長,資料保護仍然是 AWS 客戶和全世界最關心的問題之一。我們將看到更多的資料保護法規上路、更多相關專案的投入,以及實現自動化轉型。

歐盟一般資料保護規則(General Data Protection Regulation,GDPR)與加州消費者隱私保護法(California Consumer Privacy Act,CCPA)等只是資料保護立法的開端。

根據思科 2019 年的調查發現,近半數(47%)受訪者認為,遵守 GDPR 的公司更值得信賴。隨著資料保護領域越趨成熟,大眾對資料保護法的需求不斷成長,政府透過立法以回應日趨成長的需求。根據 Gartner 的預測,到 2024 年底全球 75% 的個人資料將受到法規保護。

在接下來的幾年裡也將看到企業加大對資料保護的投資。根據 Gartner 預測,到 2024 年大型企業的平均年度隱私預算將超過 250 萬美元(約新台幣 7,500 萬美元)。部分投資將用於評估資料風險、執行持續管理、資源管理任務,以及開發工具在內的資料保護計畫,在維持業務穩定營運的同時降低資料風險。

預測 5:更先進的多重要素驗證(MFA)將更加普遍

未來採用生物識別和多模式身份驗證的形式將更加普遍,例如多重要素驗證(Multi-factor authentication,MFA)將安全性和可用性互相結合,確保用戶在改善安全狀況的同時獲得順暢體驗。

MFA 是最簡單且最重要的安全保護方式之一,使攻擊者難以在密碼洩露於網路或員工受到社交工程攻擊時獲取帳戶資訊。密碼的安全係數較低且容易洩露,而 MFA 能加強帳戶的安全性,在密碼防護之外,加設額外的驗證因素(例如生物特徵識別等使用者的既有資訊)。

TO 延伸閱讀:別當下一個被勒索 7 千萬美元的公司!企業如何應對軟體供應鏈攻擊?

多因素指的是使用兩個或更多的因素認證,包括漫遊(如 Yubikeys 和 Virtual Authenticators)和平台(如 Windows Hello 和 Apple FaceID 等設備)。多模式則代表使用多種生物特徵來存取系統,依靠個人獨特的生物特徵以驗證身份,通常涵蓋一個物理或行為特徵。

依賴生物特徵識別將使 MFA 為企業提供更加順暢、自然的體驗。在多模式生物特徵系統中,將結合物理生物特徵因素(指紋、聲音、虹膜或臉部識別)與行為因素(鍵擊、手勢、抓握等)。現今 MFA 被廣泛地用於商業與個人用途,AWS 相信下一個先進應用將更普遍地採用多模式生物特徵認證,因為 MFA 更加便利且安全。

全球各地政府與知名企業對安全的日益重視趨使 MFA 的使用日漸廣泛。如FIDO(Fast IDentity Online)聯盟、美國國家標準暨技術研究院(National Institute of Standards and Technology,NIST)和美國政府等組織正在推動 MFA 作為線上保護的基礎。

預測 6:量子運算將有利於提高安全性

目前量子運算尚未成為大眾的關注焦點,但它正在逐步演進,量子安全也以加密技術的形式隨之推進。AWS 已經開始著手為後量子時代做準備。長遠而言,我們希望量子運算在未來能大幅提高安全性,但在現階段各個公司應該確保他們使用最新的加密方法來保護資料安全。

有些研究顯示,量子運算有朝一日將變得更加普遍且實用,雖然目前尚不清楚確切的時間點,但預計會削弱部分的加密技術,包括我們用於 HTTPS 和 TLS 等資料傳輸安全協定的加密演算法。

業界目前正在研究量子安全與後量子加密技術,其中不同的演算法和不同的金鑰大小提供了與現今相同的安全級別,甚至可以匹敵量子電腦。隨著加密演算法和協定不斷演進,未來設備的連接方式也將發生轉變,我們的手機、筆記型電腦和伺服器將採用量子運算這項新技術,以確保通訊隱私。

從長遠發展來看,我們期待量子運算推動雲端安全的發展。一旦企業運用更多量子運算和量子演算法,將能以有別以往的方式去思考經典演算法,甚至改進經典演算法,並激發創造性解決方案的推出。例如一名量子研究人員已經能將傳統電腦與量子電腦的能力做匹配,向使用者推薦喜歡的產品。

目前業界對量子運算尚存疑慮,加密技術的標準也正持續發展中。NIST 仍在努力進行為期多年的後量子加密技術標準化的多輪評估,預計在 2024 年前制定新的量子安全標準。

AWS 與許多大型企業正參與其中,我們提交了 BIKE 與 SIKE 兩個選項,兩者皆通過第一輪篩選,並將 82 個原始提案縮減至 26 個。此外,考慮到不同的方法會權衡性能的不同方面(例如更快的計算但更高的網路負荷),NIST 也將會對多個提案進行標準化。

TO 延伸閱讀:【專訪】鴻海研究院量子計算研究所所長謝明修——白話文拆解最迷人的顛覆性科技:量子技術

展望未來,AWS 將持續與其他企業合作,共同實施未來標準,並繼續開發和實施後量子加密。建立和控制用於加密和數位簽署資料的金鑰 AWS KMS 已經支援 TLS 1.2 部分混合後量子金鑰交換演算法。

最後,AWS 相信安全將成為企業工作的核心,驅使每個員工都為安全負責,並成為業務和創新的驅動力。AWS 將持續創新並提供最佳實踐,以推動雲端安全領域的發展,讓安全成為企業未來業務和技術創新的核心力量。

*本文訊息由 AWS 提供,內文與標題經 TechOrange 修訂後刊登。新聞稿/ 產品訊息提供,可寄至: [email protected],經編輯檯審核並評估合宜性後再行刊登。首圖來源:rawpixel.com

(責任編輯:藍立晴)