Digitimes報導:中華資安國際助企業抵禦多重威脅

 近年伴隨數位科技與網路應用迅速發展,企業面臨與日俱增的資安威脅,也讓資安防護的重要性不斷攀升,成為數位經濟與產業創新的關鍵基石。展望2020年,中華資安國際總經理洪進福預期,包括法規、威脅、新科技、時間演進等四大驅力,將推動資安產業繼續前進。

關於法規,隨著資通安全管理法施行、許多國家的個資法規、金融業資安法規等日趨嚴格,導致企業的資安法遵壓力愈來愈大。關於威脅,近幾年資安事件層出不窮,網路入侵、勒索病毒、資料外洩、DDoS、APT…等都對政府與企業造成很大的威脅和危害,預期來年企業仍將與這些風險相伴為伍。

關於新科技,隨著5G、工業物聯網IIoT、智慧聯網AIoT、車聯網、自駕車、區塊鏈等新技術、新應用的開展,勢必帶來新的資安缺口。關於時間,多數人都清楚,隨著時間演進,幾乎每天都會發現新的系統、應用或技術的缺口、漏洞。當然,如果企業沒能及時防患於未然,就可能給了駭客可乘之機,造成政府或企業的嚴重損失。

表面看來,哪怕資安威脅再大,似乎只有從事資安工作的人會戒慎恐懼,一般人並不太關心。但洪進福認為,企業主並非不在意威脅,而是更在乎資安威脅造成的影響,例如,「營運中斷」、「金錢勒索」、「資料外洩」或「智財權遭竊」,所以討論資安威脅,必須回過頭來扣合這些痛點,才有助於喚醒企業主的資安意識,更願意找方法來面對資安威脅,以及解決問題。

洪進福認為,企業要做好資安,應該從管理、技術、訓練三大構面來進行。管理制度是最重要的部分,沒有組織人員、流程、工具是不可能把資安防護做好的,即便有了管理制度,還需檢視能否落實管理?能否有效建立技術防護能力?技術是指組織建立關鍵資產盤點、防護架構、偵測監控、緊急應變、鑑識復原的技術架構及能力;訓練則是有鑒於『人』經常是組織資安防護的最大缺口,透過訓練可以提高資安認知,強化資安技能,有效提高資安防護能力。例如,企業可以參照ISO 27001管理制度、NIST IPDRR資安架構,建立企業資安的基線(Baseline),並持續PDCA管理循環,才能有效精進資安防護能力。 

藉由紅隊演練,釐清所有曝險介面

具體做法上,首先企業應自問有什麼東西最珍貴,釐清需嚴加保護的關鍵資產;接著思考如何把它們擺在安全位置,意即建立防護架構、常態性偵測機制,隨時監看有無不明人士擅動這些資產;緊接著萬一出事,企業亦應設法做到快速應變處理。簡言之,欲做好資安防護,必須兼具事前的防禦、事中的監控與應變、事後的鑑識與重建。中華資安國際副總經理游峯鵬說,駭客決定攻擊標的時,會看對方自保能力夠不夠,能力愈強的企業,遭受駭客入侵機率較低;因此建議企業將資安做得更細緻,先把端點、電子郵件、網站等重要出入口盤點清楚,再據此建立防禦與應變措施。

洪進福呼籲,企業進行資安布局,須同時看兩大面向,其一是管理面,需要建構完善的管理制度,否則即便有再強的防護設備,也難產生好的防禦效果,另一是技術面,切記「有網路接口、就有資安缺口」,務必盤查所有出入口,釐清企業對外的曝險介面,再推動相應的防禦、檢測等作為。總之,唯有「制度化管理」,才能將資安帶入常軌、成為企業日常營運的一部分,否則日子一久,隨著人員異動、系統上下架或網路架構改變,都可能導致資安退化。

「管理是說法,落實要靠做法,我們透過『稽核』來檢視說法和做法是否一致,但要能看清真相,就得仰賴動手執行『檢測』。」洪進福說,舉凡紅隊演練(Red Teaming)和滲透測試(PT),皆是『資安檢測』的服務項目,主要是以駭客觀點,探索或挖掘可能的入侵缺口,藉此提醒企業瞭解自身防護架構的不足,並輔導企業該如何補強防護、彌補資安缺口。如果沿用事前、事中、事後的概念,Red Teaming、PT 等檢測服務,算是事前的一環,另外像是事中的 SOC監控應變、事後的鑑識復原,從事前到事後都是中華資安國際的服務範疇。

與一般系統整合商最大不同,在於中華資安國際擁有豐沛的網路、系統、資安專家,更能綜觀全局,將資安設備部署在最適當的位置,搭配網段上的分艙隔離、管控機制,同時掌握即時ISP網路資安威脅情資,形成最大防禦功效。值得一提,中華資安國際結合母公司中華電信的HiNet網路服務與行動上網服務,在網路局端提供企業上網資安防護服務,以協助企業搭建縱深防禦架構,從源頭將攻擊行為、異常訊務加以攔阻。

展望今後著眼於企業雲端化程度攀升,有必要強化雲端防護能力,中華資安國際規劃於2020年1月開始提供雲端WAF服務,協助企業做好網站資安防護;此外,因應企業上雲的產業趨勢明朗,接下來也將推出落實雲端存取安全代理程式(CASB)服務,用來保護企業存放在雲端的資料與商業活動,盡全力協助企業降低資安風險。