Microsoft
Advantechline
 

中华资安国际助企业抵御多重威胁

中华资安国际总经理洪进福。

近年伴随数码科技与网络应用迅速发展,企业面临与日俱增的资安威胁,也让资安防护的重要性不断攀升,成为数码经济与产业创新的关键基石。展望2020年,中华资安国际总经理洪进福预期,包括法规、威胁、新科技、时间演进等四大驱力,将推动资安产业继续前进。

关于法规,随著资通安全管理法施行、许多国家的个资法规、金融业资安法规等日趋严格,导致企业的资安法遵压力愈来愈大。关于威胁,近几年资安事件层出不穷,网络入侵、勒索病毒、资料外泄、DDoS、APT…等都对政府与企业造成很大的威胁和危害,预期来年企业仍将与这些风险相伴为伍。

关于新科技,随著5G、工业物联网IIoT、智能联网AIoT、车联网、自驾车、区块链等新技术、新应用的开展,势必带来新的资安缺口。关于时间,多数人都清楚,随著时间演进,几乎每天都会发现新的系统、应用或技术的缺口、漏洞。当然,如果企业没能及时防患于未然,就可能给了黑客可乘之机,造成政府或企业的严重损失。

表面看来,哪里怕资安威胁再大,似乎只有从事资安工作的人会戒慎恐惧,一般人并不太关心。但洪进福认为,企业主并非不在意威胁,而是更在乎资安威胁造成的影响,例如,「营运中断」、「金钱勒索」、「资料外泄」或「智财权遭窃」,所以讨论资安威胁,必须回过头来扣合这些痛点,才有助于唤醒企业主的资安意识,更愿意找方法来面对资安威胁,以及解决问题。

洪进福认为,企业要做好资安,应该从管理、技术、训练三大构面来进行。管理制度是最重要的部分,没有组织人员、流程、工具是不可能把资安防护做好的,即便有了管理制度,还需检视能否落实管理?能否有效建立技术防护能力?技术是指组织建立关键资产盘点、防护架构、侦测监控、紧急应变、监识复原的技术架构及能力;训练则是有鉴于『人』经常是组织资安防护的最大缺口,透过训练可以提高资安认知,强化资安技能,有效提高资安防护能力。例如,企业可以参照ISO 27001管理制度、NIST IPDRR资安架构,建立企业资安的基线(Baseline),并持续PDCA管理循环,才能有效精进资安防护能力。

藉由红队演练,厘清所有曝险接口

具体做法上,首先企业应自问有什么东西最珍贵,厘清需严加保护的关键资产;接著思考如何把它们摆在安全位置,意即建立防护架构、常态性侦测机制,随时监看有无不明人士擅动这些资产;紧接著万一出事,企业亦应设法做到快速应变处理。简言之,欲做好资安防护,必须兼具事前的防御、事中的监控与应变、事后的监识与重建。中华资安国际副总经理游峯鹏说,黑客决定攻击标的时,会看对方自保能力够不够,能力愈强的企业,遭受黑客入侵机率较低;因此建议企业将资安做得更细致,先把端点、电子邮件、网站等重要出入口盘点清楚,再据此建立防御与应变措施。

洪进福呼吁,企业进行资安布局,须同时看两大面向,其一是管理面,需要建构完善的管理制度,否则即便有再强的防护设备,也难产生好的防御效果,另一是技术面,切记「有网络接口、就有资安缺口」,务必盘查所有出入口,厘清企业对外的曝险接口,再推动相应的防御、检测等作为。总之,唯有「制度化管理」,才能将资安带入常轨、成为企业日常营运的一部分,否则日子一久,随著人员异动、系统上下架或网络架构改变,都可能导致资安退化。

「管理是说法,落实要靠做法,我们透过『稽核』来检视说法和做法是否一致,但要能看清真相,就得仰赖动手执行『检测』。」洪进福说,举凡红队演练(Red Teaming)和渗透测试(PT),皆是『资安检测』的服务项目,主要是以黑客观点,探索或挖掘可能的入侵缺口,藉此提醒企业了解自身防护架构的不足,并辅导企业该如何补强防护、弥补资安缺口。如果沿用事前、事中、事后的概念,Red Teaming、PT 等检测服务,算是事前的一环,另外象是事中的 SOC监控应变、事后的监识复原,从事前到事后都是中华资安国际的服务范畴。

与一般系统集成商最大不同,在于中华资安国际拥有丰沛的网络、系统、资安专家,更能综观全局,将资安设备部署在最适当的位置,搭配网段上的分舱隔离、管控机制,同时掌握实时ISP网络资安威胁情资,形成最大防御功效。值得一提,中华资安国际结合母公司中华电信的HiNet网络服务与行动上网服务,在网络局端提供企业上网资安防护服务,以协助企业搭建纵深防御架构,从源头将攻击行为、异常讯务加以拦阻。

展望今后着眼于企业云端化程度攀升,有必要强化云端防护能力,中华资安国际规划于2020年1月开始提供云端WAF服务,协助企业做好网站资安防护;此外,因应企业上云的产业趋势明朗,接下来也将推出落实云端存取安全代理程序(CASB)服务,用来保护企业存放在云端的资料与商业活动,尽全力协助企业降低资安风险。

  •     按赞加入DIGITIMES智能应用粉丝团