【立專欄】《2020 5G網路安全白皮書》:網路安全是數位轉型關鍵

/資誠(PwC Taiwan)、責任編輯/潘韜宇
·5 分鐘 (閱讀時間)

資誠聯合會計師事務所3日發布《2020 5G網路安全白皮書》(Securing 5G’s future whitepaper),白皮書指出,5G是移動和無線通信發展中的下一個關鍵領域,它將提供空前的速度、容量和功能。然而,5G新功能和虛擬化的結合也帶來了新的威脅。由於5G具有明顯更多的網路端點,可能暴露在網路威脅中,5G虛擬化意味著整個連接均基於軟體,而該軟體本身就是可入侵的。

資誠智能風險管理諮詢公司執行董事張晉瑞表示,保護5G網路免受網路威脅的第一步是了解安全漏洞發生的位置。這意味著在允許每個元件連接到網路之前,採用識別、分析和評估每個元件的運行狀況是否安全,並在適當的情況下,根據此評估實施對5G服務的存取控制。

Embed from Getty Images

建立5G時代的安全防禦策略

1.建立資安防禦意識(Awareness)

  • 設備描述檔分析(Profile):發現並描述網路的每個端點設備和應用程式資訊。

  • 檢核安全運行狀況(Assess):確定設備的安全運行狀態。

  • 設備身份識別(Identify):有哪些使用者和設備已連接以及用何種方式連接。

  • 學習(Learn):透過監控和日誌記錄持續評估設備和使用者的日常行為。

2.針對敏感數據分類(Classification)

  • 權重評估(Weigh):評估要保護的資產、數據、應用程式的價值和重要性。

  • 風險評分(Riskscore):根據資安曝險的衝擊分析分配風險評分。

  • 群組分配(Assigntogroups):將數據、使用者、端點設備對應到數據存取分類群組。

  • 應用的優先順序(Prioritise applications):針對業務特性、數據分類存取分類群組、對應的風險評分來訂出與優先處理順序一致的資訊安全策略。

3.確保安控措施執行(Enforcement)

  • 限制(Restrict):根據資訊安全策略確定存取權限和安控執行邊界。

  • 隔離(Isolate):確定如何偵測、遏制、和隔離相關的威脅入侵和違規事件。

  • 通報(Notify):提供資料外洩和違規事件的通報機制。

  • 分隔(Segment):定義出對應用程式、端點設備、和使用者進行基於身份識別為基礎的存取控制框架。

  • 執行(Enforce):根據已定義的資訊安全策略在信任邊界實施身份識別的安控措施。

張晉瑞指出,企業應快速建立5G時代的安全防禦策略,藉此幫助整個5G生態系統中各層面的參與者,在業務風險,新興科技風險,以及5G網路安全之間取得適當的風險控制與成本平衡。

制定網路安全韌性的三大策略

另外,根據資誠《2019數位信任調查報告》(PwC 2019 Digital Trust Insights),企業針對5G網路攻擊和其他破壞性衝擊的抵禦能力,正建立並導入網路安全韌性設計(Resilience by design)。

此調查發現,具有網路安全韌性高水平的排名前25%企業,在以下針對5G網路架構而制定網路安全韌性策略的三個主要領域中領先。基本上,他們對「網路安全韌性設計」的重視,使得這些企業的5G網路防禦強度,遠遠領先於其他75%企業。

1.提高數據資產的可視性

具有網路安全韌性的企業,會一貫地追踪其數據資產和現有作業流程如何影響其業務核心發展。91%的高網路安全韌性企業保持準確的資產清單並定期更新,而其他受訪者只有47%會定期更新。重要的是,此資產清單必須包括與第三方或供應鏈的合作,尤其是在與多家供應商合作的情況下,這在5G世界中幾乎不可避免。

2.攻擊容忍度測試

高網路安全韌性的企業會綜觀全局,在面臨特殊資安風險情境時,充分掌握遭受攻擊時的承受能力多寡。本調查發現,在網路攻擊期間,面臨關鍵業務運營中斷的情況下,只有不到三分之一的企業能夠使用攻擊容忍度測試,以及營運中斷衝擊分析,來確保自身在營運中斷的過程中能夠掌握其攻擊容忍度,並進行自我防禦與系統修復。當諸如此類的營運中斷發生時,此次參與本調查的企業(特別是大型企業)表示,他們的關鍵核心業務服務經常處於危險與外部網路威脅中。

3.調適和完善

高網路安全韌性的企業會不斷發展其安全防禦策略。提高數據資產的可視性並執行攻擊容忍度測試,持續保持高度的網路安全韌性。然而,當面對技術的快速發展時,我們發現只有34%的高網路安全韌性企業能夠適應正在發生的變化。為了確保全面的網路安全保護,三分之一的高網路安全韌性企業在採用新技術時會評估其韌性,這些企業通常依賴專業的團隊來完善核心資產和IT營運流程的安全性。

張晉瑞建議,企業應透過以上三個策略來重新建構「5G網路安全」的概念,進而改變整個5G社群對安全的認知。在未來,建議企業採用零信任的風險評估方法(zero trust approach),這個方法結合三個主要優點:安全信任,韌性設計和全面啟動網路防禦,以協助企業領導者,建構出合理的5G安全防禦策略基礎,確保企業可以快速並安全地推出5G相關的產業創新,使個人,企業和社會可以放心地享受5G強大的新技術為全世界帶來的永續與繁榮。

下載《2020 5G網路安全白皮書

資誠智能風險管理諮詢公司執行董事張晉瑞表示,保護5G網路免受網路威脅的第一步是了解安全漏洞發生的位置。(取自Pixabay)
資誠智能風險管理諮詢公司執行董事張晉瑞表示,保護5G網路免受網路威脅的第一步是了解安全漏洞發生的位置。(取自Pixabay)

※關於資誠 (PwC Taiwan)
資誠(PwC Taiwan)係PwC在臺灣之聯盟所,我們的使命是「營造社會誠信,解決重要問題」。PwC的全球聯盟組織遍佈157個國家及區域,計有逾276,000名專業人員在世界各地致力於提供高品質的審計、稅務及顧問諮詢服務。
※本文為個人觀點,不代表《立報傳媒》立場