果核結盟 I.X,力推實體金鑰加密、杜絕企業機密外洩
長期深耕資安市場的果核數位,近年對 App資安檢測服務著力頗深,在包括金融等多個領域有不錯的斬獲。但執行 App 檢測的過程,不時看到一些隱憂,例如有些企業的資料保存與傳遞,並未實施加密,抑或不少人以手機存放憑證,且允許憑證匯出或複製;這些現象,都潛藏不小資安風險。
果核總經理丁瑋明表示,為協助用戶補強這些安全罩門,果核一直尋找合適解決方案;儘管市場上金鑰加密方案不少,但多數僅適用 PC 環境,與手機端的整合不佳,且多未禁止憑證匯出,造成手機變成駭客的入口,讓果核沒能很快找到理想標的。直到今年(2019)接觸 I.X 的 Trio無線金鑰加密安全溝通平臺,認為藉由企業自行掌控加密金鑰的概念,確實有助於杜絕企業資訊流通與儲存的風險,因而備感驚艷。
於是在今年 8 月,果核與 I.X 簽訂合作備忘錄,期待雙方將共同努力把 Trio 推廣至醫療、政府和高科技廠等領域,幫助用戶建立真正安全無疑的機密保全環境。
唯有金鑰自管,才能杜絕機密外洩風險
丁瑋明說,果核所屬的遊戲橘子集團採用 PKI USB Key 十多年,重要資訊的傳輸或儲存會透過PKI來進行加密,即使把加密後的資訊放到公有雲儲存空間也無需擔心。無奈 USB Key 難以插入手機,要拿它來化解手機衍生的機密外洩疑慮,顯然鞭長莫及。
將憑證存放個人手機,問題則更大;一旦手機遭入侵,駭客就有機會竊取憑證,就算不竊取,也可直接利用受害者的手機做各種壞事。至於將金鑰管理外包給專業公司,也因為曾有相關服務商遭駭、導致用戶金鑰外洩,不見得讓人安心。
後來果核乍見 I.X Trio「企業管理自己的金鑰」訴求,自然喜出望外,認為過往棘手難題可望迎刃而解。
I.X 的做法,是利用實體無線金鑰卡來保護員工的金鑰,員工的私鑰儲存於實體加密金片中(通過歐盟Common Criteria EAL5+的認證),金鑰卡由公司配發給員工,達到金鑰自管。在其最高規格 P2P 加密服務下,員工彼此間的對談或資訊傳遞,皆由各自卡片執行全程加解密,溝通結束後的 12 小時,所有訊息自動清空,不會殘存於兩端手機,也因對談過程未經任何中介伺服器,亦不會有其他載體殘留這份資訊;包括國防或高機密性商業機構,都偏好採用這類模式。
針對一般企業,I.X 為針對企業員工身份認證以及門禁的需求,於近期推出I.X Smart eBadge 樣貌;對此 I.X 營運長William說明,此 eBadge可結合員工的個人手機、帳號形成獨家專利的「三金鑰綁定機制」,實現無人可假冒的身份認證,用戶登入不必再背一大串難記密碼、及符合 CC EAL5+ 認證的軍事等級資料加解密及授權,而它的功用還不僅止於。
William進一步指出,I.X Smart eBadge 結合QR Code作為交易或是資料驗證時的電子簽章運用,ebadge本身也可以結合做為門禁之用,eBadge 不僅兼具員工識別證功能,顯示內容也以可透過SDK動態更新, I.X也可以協助企業客製化設計 eBadge 樣式,並依不同情境需求而隨時變換顯示內容。另外結合Trio資訊安全溝通平台,可以提供企業2FA認證整合在PC登入,企業內網服務登入(如企業ERP, CRM, HR甚至文件管理系統等),並提供企業員工安全加密的使用手機或是PC瀏覽公司文件,並且達到敏感資料不落地的方式,再搭配可以即時稽核的管理後臺,確保企業機密資料不外洩,也能讓公司IT單位能完整掌握所有資訊的流動軌跡。
結合身份認證與室內定位,管理失智症患者行蹤
現階段 I.X 已在國內外的醫療單位、政府機構、以及高科技廠等場域,累積愈來愈多成功案例。以國外的醫療機構為例,醫療相關人員運用I.X Smart eBadge來確保身份認證,醫療資料溝通加密,並可以結合門禁管理,為人員進出安全以及病患病歷的個資把關,因此有機構開始透過 Trio 取代傳統作業。醫生一旦攜帶 eBadge 進入院區,eBadge 上就立即顯示個人資訊,並在執業時間享有門禁登入、身份認證等一切權限,如超過設定時間還未申請延長權限就自動失效,確保醫療院所人員管制安全。
I.X Smart eBadge不僅結合身份認證、也支援室內定位,故可用來追蹤管理失智症或其他長期住院患者的行走軌跡,不擔心病患在偌大院區走失;甚至醫療機構可在病患 eBadge 寫入病歷授權管理機制以及結合室內定位,讓病患突然感到不適時,可結合醫院的通報機制,利用 eBadge 通知醫護人員前往協助,而在治療過程,若主治醫生認為必須偕同跨科別醫生會診,則可經由病患按下同意,將其病歷主動分享給參與會診的醫生。
除此之外,另有半導體製造廠導入 Trio,結合電子簽章與帳號綁定,嚴格落實身份證認,確保只有被授權的員工才能登入特定機臺,防堵機密配方外洩。
大體來說,隨著近年來國內外多起重大資安事件的震撼教育,企業的資安意識較以往提高不少,也開始注意資料保存與傳輸過程的安全議題,但苦無好的做法,能讓資安與便利兩者兼顧,這些正是 I.X Trio 的市場機會所在。