勤业众信吁整合威胁情资 建立网安应变机制

勤业众信协理陈威棋。

时至今日，网安攻防已是不对称战力之竞争，单一企业愈来愈难以对抗有组织、且专业分工的黑客集团。

勤业众信联合会计师事务所风险谘询服务协理陈威棋认为，在数码创新时代，网安管理已成为安全体系的对抗，而速度正是决胜关键，因此企业必须做好三件事，一是藉由管理与技术纵深防御，强化固有风险有管控之成熟度；二是透过技术检测与威胁分析，提高体系弱点评估与威胁情资分析的能力与速度；三是经由攻防演练与事件应变，提升网安事件应变速度及能力。

陈威棋接着说，Gartner于2014年2月提出「预防无用论」，意指企业绝对无法成功阻止针对性攻击，故企业应永远假设正在遭受攻击，整体性的持续防御流程，远比预防黑客攻击更重要。

由此观之，企业当务之急，应将传统网安防御能力，提升为主动威胁情资的运用，把外部各种网安情资、内部信息架构所遭受的攻击与潜在弱点，统一汇整至管理阶层进行决议，以期有效因应数码科技带来的网安风险。

善用威胁情资  强化网安战略决策

论及威胁情资应用与管理流程，依序蕴含「情资来源规划？修正」、「情资蒐集」、「情资处理」、「情资分析」与「情资订阅」五个环节，彼此紧密串联为生生不息的循环。

至于常见的威胁情资类型，源自几个重要途径，包括针对暗网论坛及网站的监控；藉由社群网站、弱点数据库、网安专家博客与网安新闻网站分析最新网安议题；商用授权网安威胁情资、司法单位或Global网安情资之汇整；蒐集各产业网安威胁信息及网安事件、并提供定制化产业信息分享；透过各种公开信息寻找与获取情资，包含Blacked IP/Domain/URL、恶意程序样本Hash、IOC等；监控社群网络及媒体消息，确认企业品牌目前是否有网安议题、数据外泄等负面消息。

陈威棋建议，企业亦应参照NIST或ENISA等国际组织标准，建立属于自身的网安事件应变机制，一方面可按事件管理组、网络支持组、系管支持组、数据库支持组、应用系统支持组等功能分类，建立网安应变的虚拟组织，二方面针对高风险业务活动，考量外部威胁情资，设计与实施攻防演练；总括而论，企业必须全力将威胁情资淬链为战略策略。