做好监识分析与漏洞检测 有效防止网安事件

勤业众信风险管理谘询公司协理陈威棋。

发生在2016年7月的第一银行ATM盗领案，不仅震惊全台，更让不少人开始担心，如果连金融业都会有网安问题，其他产业会不会也有类似的问题。勤业众信风险管理谘询公司协理陈威棋指出，如果能从ATM盗领案的来龙去脉，了解如何检核组织内部的网安应变机制，对有效防止网安事件，其实有莫大的帮助。

陈威棋指出，其实从ATM盗领案的关键时间轴来分析，台湾检调单位的动作已经算是相当快，而且在事件发生后，金管会也已经要求台湾各大金控要做后续处理，尤其从9月开始，金融相关单位都有针对ATM设备举办网安攻防演练，攻防演练计划会分成不同小组进行，包括攻击组、防御组、裁判组、规划组及行政业务组等，也可作为其他产业在网安管理方面的参考。

如网安事件发生后，公司整体的应变及后续的调查机制应该怎麽做？有无建立标准作业程序(SOP)？陈威棋强调，网安事件之所以会发生，除了技术面外，关键往往是在管理面。以ATM盗领案为例，车手第一时间领到钱时，整个过程是否有及时显示任何异常状况？监控机制有无发挥其预警机制？为什麽可以这麽容易跨过网络防护机制？第一时间可以从哪里开始调查？是否有能力蒐集足够的数码足迹？如何确认是内部问题？还是外部黑客入侵？

陈威棋指出，ATM盗领案的启示之一，就是让许多企业高端主管更重视信息安全的重要性，不但开始投入资源，将信息安全纳入KPI之一。企业也发现，要有数码证据保全及初步分析能力，不仅方便自清，同时也较能面对未来的诉讼，另建议而针对较旧的操作系统版本，也要有整体的汰换计划。

此外，企业应开始思考从被动防御机制，转变成主动发现威胁强化，如可参考Cyber Threat Intelligence机制导入，积极了解企业内部所使用信息设备类型及网络环境架构，参考在国外最新第一手外部威胁情境。

陈威棋表示，企业不仅要做好网安的事前防御能力、事中侦测机制及事后处理措施，同时应根据不同阶段，来检视有无需要加强防护，而且包括管理面及技术面都要加强。

事实上，许多调查机构早已发现，网安事件持频频传的原因，在于许多企业看待网安管理的态度。陈威棋引述Gartner的「预防无用论」指出，因为攻击者拥有无限次的机会来突破防御，想要成功阻止针对性攻击的入侵，已经不切实际，企业应该永远假设自身正受攻击，故建立整体性的持续防御流程，做好第一时间的因应机制，可能比投入过多资源于预防黑客攻击，更符合实务要求。

陈威棋指出，在与风险共存的时代，网安管理治理议题须拉高至董监事层级，透过与董事会宣导网安风险的概念，将更有成效。此外，企业也可以参酌相关国内外信息安全风险指标最佳实务，如勤业众信的网安风险指标设计框架，透过风险灯号作为警告界面，有利于跟高端主管说明及决通目前网安风险轮廓。

但合规只是起点，企业真正的需求是管理所面临的网安风险，要有还原真相与诉讼支持的数码监识能力，尤其是数码证据保全非常重要，在被攻击的第一时间，就要注意不能破坏数码证据，才能够在网安事件下存活。

同时要进行涵盖业务与IT的网安紧急应变与攻防演练，企业可以用对外的主要网站或内部重要系统为范本实际进行演练，才会看到突发状况会发生的事情，如谁会处理、数据实际保存的状况。

更重要的是，企业要将网安防御提升为威胁情资的对抗，而且要善用外部情资，如网安专家的讨论或国外案例，不要等事件发生后才来讨论，才能有效降低网安风险。