中华网安国际助企业抵御多重威胁

中华网安国际总经理洪进福。

近年伴随数码科技与网络应用迅速发展，企业面临与日俱增的网安威胁，也让网安防护的重要性不断攀升，成为数码经济与产业创新的关键基石。展望2020年，中华网安国际总经理洪进福预期，包括法规、威胁、新科技、时间演进等四大驱力，将推动网安产业继续前进。

关于法规，随着资通安全管理法施行、许多国家的个资法规、金融业网安法规等日趋严格，导致企业的网安法遵压力愈来愈大。关于威胁，近几年网安事件层出不穷，网络入侵、勒索病毒、数据外泄、DDoS、APT…等都对政府与企业造成很大的威胁和危害，预期来年企业仍将与这些风险相伴为伍。

关于新科技，随着5G、工业物联网IIoT、智能联网AIoT、车联网、自驾车、区块链等新技术、新应用的开展，势必带来新的网安缺口。关于时间，多数人都清楚，随着时间演进，几乎每天都会发现新的系统、应用或技术的缺口、漏洞。当然，如果企业没能及时防患于未然，就可能给了黑客可乘之机，造成政府或企业的严重损失。

表面看来，哪怕网安威胁再大，似乎只有从事网安工作的人会戒慎恐惧，一般人并不太关心。但洪进福认为，企业主并非不在意威胁，而是更在乎网安威胁造成的影响，例如，「营运中断」、「金钱勒索」、「数据外泄」或「智财权遭窃」，所以讨论网安威胁，必须回过头来扣合这些痛点，才有助于唤醒企业主的网安意识，更愿意找方法来面对网安威胁，以及解决问题。

洪进福认为，企业要做好网安，应该从管理、技术、训练三大构面来进行。管理制度是最重要的部分，没有组织人员、流程、工具是不可能把网安防护做好的，即便有了管理制度，还需检视能否落实管理？能否有效建立技术防护能力？技术是指组织建立关键资产盘点、防护架构、侦测监控、紧急应变、监识复原的技术架构及能力；训练则是有鉴于『人』经常是组织网安防护的最大缺口，透过训练可以提高网安认知，强化网安技能，有效提高网安防护能力。例如，企业可以参照ISO 27001管理制度、NIST IPDRR网安架构，建立企业网安的基线(Baseline)，并持续PDCA管理循环，才能有效精进网安防护能力。

藉由红队演练，厘清所有曝险界面

具体做法上，首先企业应自问有什麽东西最珍贵，厘清需严加保护的关键资产；接着思考如何把它们摆在安全位置，意即建立防护架构、常态性侦测机制，随时监看有无不明人士擅动这些资产；紧接着万一出事，企业亦应设法做到快速应变处理。简言之，欲做好网安防护，必须兼具事前的防御、事中的监控与应变、事后的监识与重建。中华网安国际副总经理游峯鹏说，黑客决定攻击标的时，会看对方自保能力够不够，能力愈强的企业，遭受黑客入侵机率较低；因此建议企业将网安做得更细致，先把端点、电子邮件、网站等重要出入口盘点清楚，再据此建立防御与应变措施。

洪进福呼吁，企业进行网安布局，须同时看两大面向，其一是管理面，需要建构完善的管理制度，否则即便有再强的防护设备，也难产生好的防御效果，另一是技术面，切记「有网络接口、就有网安缺口」，务必盘查所有出入口，厘清企业对外的曝险界面，再推动相应的防御、检测等作为。总之，唯有「制度化管理」，才能将网安带入常轨、成为企业日常营运的一部分，否则日子一久，随着人员异动、系统上下架或网络架构改变，都可能导致网安退化。

「管理是说法，落实要靠做法，我们透过『稽核』来检视说法和做法是否一致，但要能看清真相，就得仰赖动手执行『检测』。」洪进福说，举凡红队演练(Red Teaming)和渗透测试(PT)，皆是『网安检测』的服务项目，主要是以黑客观点，探索或挖掘可能的入侵缺口，借此提醒企业了解自身防护架构的不足，并辅导企业该如何补强防护、弥补网安缺口。如果沿用事前、事中、事后的概念，Red Teaming、PT 等检测服务，算是事前的一环，另外像是事中的 SOC监控应变、事后的监识复原，从事前到事后都是中华网安国际的服务范畴。

与一般系统整合商最大不同，在于中华网安国际拥有丰沛的网络、系统、网安专家，更能综观全局，将网安设备部署在最适当的位置，搭配网段上的分舱隔离、管控机制，同时掌握实时ISP网络网安威胁情资，形成最大防御功效。值得一提，中华网安国际结合母公司中华电信的HiNet网络服务与移动上网服务，在网络局端提供企业上网网安防护服务，以协助企业搭建纵深防御架构，从源头将攻击行为、异常讯务加以拦阻。

展望今后着眼于企业云端化程度攀升，有必要强化云端防护能力，中华网安国际规划于2020年1月开始提供云端WAF服务，协助企业做好网站网安防护；此外，因应企业上云的产业趋势明朗，接下来也将推出落实云端存取安全代理程序(CASB)服务，用来保护企业存放在云端的数据与商业活动，尽全力协助企业降低网安风险。