企業看待資安,必須兼顧管理制度、技術架構、人員訓練,並建立「事前盤點防禦」、「事中監控應變」及「事後鑑識復原」的資安防護能力。
「數位轉型」是近年最火紅的辭彙,多數企業機構都積極迎向這個趨勢浪潮,導入數位科技與聯網技術一波接著一波;殊不知在此同時,企業對外的「曝險介面」隨之增多,甚至產生新的缺口而不自知,埋下可能招致駭客入侵的風險。
展望2020年,企業資安防護的需求仍會持續蓬勃發展。中華資安國際總經理洪進福表示,法規、威脅、新科技、時間等是驅動資安市場發展的四大因子,每個都將發揮其影響力,迫使企業必須持續強化資安防護能力。
關於法規,隨著資通安全管理法施行、許多國家的個資法規、金融業資安法規等日趨嚴格,導致企業的資安法遵壓力愈來愈大。關於威脅,近幾年資安事件層出不窮,網路入侵、勒索病毒、資料外洩、DDoS、APT等都對政府與企業造成很大的威脅和危害,預期來年企業仍將與這些風險相伴為伍。
關於新科技,隨著5G、工業物聯網IIoT、智慧聯網AIoT、車聯網、自駕車、區塊鏈等新技術、新應用的開展,勢必帶來新的資安缺口。關於時間,多數人都清楚,隨著時間演進,幾乎每天都會發現新的系統、應用或技術的缺口、漏洞。當然,如果企業沒能及時防患於未然,就可能給了駭客或網軍可乘之機,造成政府或企業的嚴重損失。
從管理、技術、訓練三大構面 建立資安能力
儘管企業面臨的資安威脅持續存在,洪進福認為,對企業主來說,與其關心威脅,更應留意威脅所造成的衝擊,像是營運中斷、資料外洩,或智財權遭竊等危害,並針對導致危害的資安威脅,建立資安防護機制。例如,企業在網路上提供電子商務交易網站,可能遭受DDoS攻擊、網站遭入侵資料外洩等威脅,企業就應該針對這些威脅,建立威脅模型,並備妥事前、事中、事後的防護因應對策。
洪進福認為,企業要做好資安,應該從管理、技術、訓練三大構面來進行。管理制度是最重要的部分,沒有組織人員、流程、工具是不可能把資安防護做好的,即便有了管理制度,還需檢視能否落實管理?能否有效建立技術防護能力?技術是指組織建立關鍵資產盤點、防護架構、偵測監控、緊急應變、鑑識復原的技術框架及能力;訓練則是有鑒於『人』經常是組織資安防護的最大缺口,透過訓練可以提高資安認知,強化資安技能,有效提高資安防護能力。
中華資安國際透過使用簡單的論述方式,引導企業明瞭如何做好資安防護。首先藉由「你認為家中有什麼珍貴物品」提問,釐清企業需要被加強保護的關鍵資產;接著提到「如何把珍貴物品擺在安全的地方」,讓企業清楚必須建立事前的防禦架構、以及事中的常態性偵測機制,有效阻止宵小靠近或竊取關鍵資產;再來提到「萬一出事,該怎麼辦」,指引企業建立快速應變措施,透過事後的鑑識與重建機制,釐清事件的來龍去脈,入侵管道,並儘速彌補缺口、清除餘毒、讓一切回歸正常。洪進福不忘提醒,企業要解決資安問題,需要統合管理、技術、訓練三大構面,例如,參照ISO 27001管理制度、NIST IPDRR資安框架,建立企業資安的基線(Baseline),並持續PDCA管理循環。對此中華資安國際副總經理游峯鵬補充,有了好的制度,就可望把資安帶入常軌、真正成為企業日常營運的一環,要不然只要有人員異動、系統上下架、網路架構更動,都可能因疏於做對應調整、造成資安退化。
釐清企業資安風險 建立事前/事中/事後資安架構
大體來說,企業看待資安,必須兼顧管理制度、技術架構、人員訓練,並建立事前盤點防禦、事中監控應變、事後鑑識復原的資安防護能力。洪進福轉述,很多企業CEO或CIO都在問「我們成立了資安部門、買了不少資安軟硬體設備,請問我們現在資安做得好不好?有沒有被駭的風險?」,要回答這個問題,最好的方式就是評估(Assessment)與檢測(Testing)。資安評估是透過稽核一個組織資安管理制度的落實程度、說與做一致、雲網端資安架構檢視、合規檢視等,評量一個組織的資安整備度與成熟度;檢測則是以駭客觀點,搜索資安缺口,實際動手進行入侵測試,這會讓資安防護好壞高下立判,無所遁形。而最理想的檢測方式就是紅隊演練(Red Teaming)。
綜觀臺灣資安市場,目前有實力提供紅隊檢測服務者,僅中華資安國際與極少數業者,這項服務是由專業道德駭客組成,運用無邊界的探索,嘗試找出任何可能潛進企業內網的介面,再順藤摸瓜深入核心系統,取得最高控制權限,甚至是拿到企業關鍵資料,藉此提醒企業瞭解自身防護架構的不足,並輔導企業該如何補強防護、彌補資安缺口;另一種常見的檢測服務是滲透測試(PT),通常由業主指定特定的作業範圍,例如某個系統或網站,由資安檢測人員執行入侵測試,然而「駭客不會依照你指定的路徑進來」,所以單靠PT挖掘特定系統的缺口、彌補缺口,想要釐清企業資安做得好不好,顯然還不足以達到目的。
以三色資安檢測 看清企業的資安防護能力
很多企業為了看清楚自身資安防護能力,確實考慮利用「紅隊攻防演練」來進行實地檢測,但是部分CEO與CIO詢問企業的資安負責人,「我們委託的紅隊演練過程,紅隊到底發現多少個漏洞?檢測涵蓋的完整性如何?有沒有忠實的反映在檢測報告裡?」,要回答這個問題,就得靠介於紅隊與藍隊之間的第三方檢測稽核角色,也就是紫隊。
洪進福表示,中華資安國際是國內唯一有能力執行「三色資安檢測」的公司,資安專家可以扮演紅隊,模擬駭客進行無邊界的入侵檢測;也可以扮演藍隊,協助企業的SOC進行防禦應變;也可以扮演紫隊,協助業主執行第三方資安檢測稽核的工作,協助企業稽核紅藍攻防的真相、看清企業的資安防護能力。
針對事前、事中、事後的資安架構,中華資安國際提出非常完整的服務內容。以事前而論,可從風險評估角度,幫助客戶辨識關鍵資產與風險,接著提供顧問與規劃服務,引導客戶建立防禦架構,同時提供 Red Teaming、滲透測試PT與資安健診等檢測服務,確保防護架構沒有缺陷;此外,包括事中持續性的 SOC監控應變,發現可疑活動的事件釐清、緊急應變、快篩止血,以及事後的事件鑑識服務、系統復原重建等工作,都是中華資安國際的服務範疇之列。
洪進福提醒,企業務必牢記「有網路接口、就可能有資安缺口」,很多企業的資安風險都來自聯網。中華資安國際與中華電信母公司共同於HiNet上網機房端提供網路資安防護服務,企業應該善用上網資安防護服務,例如HiNet DDoS防護、入侵防護、雲端防火牆、防駭守門員等,將網路攻擊、入侵威脅、惡意網站活動等阻隔於企業境外,協助企業做到縱深防禦,這也是其他資安業者做不到的。
總括而論,中華資安國際與一般系統整合商或設備商有著莫大不同,在於同時擁有網路、系統、資安等各領域專家,能夠綜觀全局、即時掌握資安威脅情資,將資安防護佈署在最適當的防禦位置、持續監控應變、補強精進,協助企業將資安風險降到最低。