防御、监控与应变多管齐下 实现网安趋吉避凶

在2017年开春，台湾惊爆史上第一起证券商集体遭DDoS攻击勒索事件，震撼程度堪与一银ATM遭骇事件等量齐观；着眼于此，金管会开始要求所有金融机构，须因应DDoS防护需求，切实建立监控、事故应变等机制，并于每年至少实施一次程序演练。因此若说DDoS是2017年重大网安议题，理应不为过。

勤业众信联合会计师事务所风险谘询服务协理陈威棋认为，事实上2017年值得关注的网安课题，并不仅止于DDoS，尚有其他重要项目。

首先除了金管会要求银行须于5月20日前完成App安全检测，必须依移动应用App基本网安检测基准.V2.1版进行29个项目之检测，另近期行政院消保处经调查发现，包括超商、大卖场、移动银行及通信服务等民生相关App，普遍蒐集过多个资，于是要求前述民生App，发布前检视App所需权限及蒐集个资应与提供服务一致。

其次，2016年期间发现，基于特定版本Apache Struts 2弱点，允许攻击者线上执行任意程序码漏洞，等于让黑客堂而皇之取得企业网页服务器控制权，堪称重大危机；历经此风波，国际上的网安风向球，不再环绕于防火墙、IPS等老生常谈的防护设备，而是高谈网络威胁情资分享。

回顾以往，一旦出了大事，多由主管机关要求辖下单位加强防御措施，此被动模式尽管在日后仍无可避免，但已随着情资分享观念成形，逐渐朝向主动制敌机先的方向推进。比方说现今金管会明确要求各行库，必须独立建置网安专责组织来处理网安管理，亦要求该组织应具备几项必要机制，首先便是网络威胁情资能量，接着则应建立网安应变能量。

防范未然  企业宜建立事件应变能量

陈威棋强调，不论网安趋势如何演进，当年热门议题如何变化，万变不离其宗，企业宜以16字箴言，审慎因应今后接踵而来的网安威胁，它们包括了「权责义务」、「了解环境」、「监识概念」与「外部情资」。

早期企业网安管理的重心，仅偏重事前预防，对于事中监控的着墨程度稍微少了一些，至于事后应变，更是明显欠缺，所以展望未来的当务之急，便是赶紧补上危机处理SOP，把应变程序步骤、以及每个人应负的权责角色定义清楚，再搭配必要的攻防演练，将定义好的剧本确实执行过一遍，如此才能明白了解环境现状，自我诊断不足之处何在，再据此调整组织、程序与人员等资源配置结构，设法将网安体质调理到最佳状态。

值得一提的，在建立网安应变机制的过程，举凡透过监识概念的建立，藉以回溯事件的原貌，并强化证据的保全，乃至于引入外部威胁情资，再与内部情资进行综合性判断、比对，作为网安决策依据，皆可谓不容或缺的重要环节。

陈威棋说，勤业众信藉由旗下网安科技与监识分析中心实验室，提供有关证据保全、事件分析等数码监识服务，不仅行之有年、深具经验，也已取得国际认证，并获法院认可，具有等同于调查局、刑事警察局的监定效力。

尽管如此，他仍建议企业在承平之时，便应及早培养监识认知，并建立相对应的标准程序，秉持未雨绸谬原则，尽可能完整保存数码证据，否则万一什麽Log都没留下，事后任凭经验老道的监识团队介入协助，恐怕也无力回天。

至于事前防御、事中监控等方面，勤业众信可协助企业进行社交工程演练、渗透测试，检视网站有无弱点，辅以定期执行基本设备与应用相关安全检测，借此研判该用户的事件应变处理流程、监控规则等环节是否足够，若有不足，再议优化调整管理流程与制度，以打好网安防护基础。