AWS偕同策略夥伴建构云时代网安长安全战略思维

AWS台湾暨香港总经理王定恺。DIGITIMES摄

去(2021)年底，金管会发布施行新版「公开发行公司建立内控制度处理准则」，规定资本额逾百亿元、或排名前50大的上市柜公司，须在今年底前设置网安长(CISO)与网安专责团队。此一规范象徵「信息长兼任网安长」终将成为过去，取而代之的，将是核心职能需要被重新定义的新时代网安长。

只不过迄今有许多企业高层尚未理解此项规定的意涵，不晓得该如何正确设定CISO权责与义务，也依然存有「CISO与CIO有何不同」的疑惑。鉴于此，AWS台湾团队于日前举办「AWS云时代网安长战略峰会」，邀集重量级网安专家、企业风险谘询顾问业者齐聚一堂，期望一方面替企业剖析CISO适任条件，另一方面为网安从业人员点出争取CISO职务的前进之道。

技术比新、不比久！可藉由上云强化防御力

AWS台湾暨香港总经理王定恺致词表示，本次活动出席状况热络，显见台湾产官界高度重视网安，除归因于金管会颁布新法规外，举凡恶意攻击事件频传，甚至因乌俄战争衍生的微妙氛围，都让大家的情绪紧绷，因而对网安投以更多关注。因金管会发布新版规范，今后企业董事长、总经理或董事会需要任命CISO，重点在于能否在Interview时问对问题、找到对的人。按金管会规定，上市柜公司只要发生网安事件，需发布重大信息，接受市场检验，无法像从前隐而不宣，可能影响品牌形象；唯有让对的人出任CISO，才能将这部分的顾虑降至最低。

因此现阶段包括「Are you ready to hire？」「Are you ready to be hired？」皆成为众人关切的问题，AWS期望透过这场活动，帮助大家找到初步答案。毕竟企业网安攻防如同战争，黑客不会表明何时来袭，一定打你出其不意，尝试攻入你的破口，需要仰赖有能力的CISO来守住大局。「技术永远比『新』、不比『久』，」王定恺说，若CISO将云端视为「黑船」、相应不理，但黑客反倒活用云端创新技术来强化攻击力，便会导致攻守失衡。许多企业遭遇网安事件时往往穷于应付，只能召唤厂商来解围，明显不符NIST Cybersecurity Framework(CSF)定义的识别、保护、侦测、回应与复原等五大原则。欲终结劣势，有赖CISO确实发挥网际网络安全、网安事件回应暨灾难复原、数据保护、存取控制、实体安全、网络通讯安全、威胁与弱点管理等核心职能。

具体来说，CISO在企业中应担负的责任，包括「影响和支持、活络业务」、「企业网安战略与业务战略保持一致」、「起草、实施和执行网安政策和程序」、「管理安全营运操作」、「保持合规性」、「雇用、培养和维护称职的网安人员」、「监督组织风险管理」及「管理网安采购和工程」等八项。其中重点便是维持网安与业务战略的一致性，也就是说CISO应支持公司业务活动，而非藉安全之名来阻挡业务创新。所以CISO不仅应具备技术能力，亦须具备管理能力，懂得善用先进网安技术来强化防御，进一步提升企业数据治理水平。

王定恺建议，当务之急，CISO应打破「云不安全」刻板印象，让企业的技术、工具能够与黑客对等，摆脱一路挨打宿命。他并归纳公司Hire网安长最重要的三件事，分别是「懂得优先」、「打过的优先」和「打赢的优先」。

美日政府采用AWS服务，让创新与安全两者兼得

本次活动的一大看点，即是AWS美国政府云(GovCloud)专家Larry Chuon、AWS日本安全保障团队主管松本照吾先后发表在线演说，阐述美日两国政府为何采用AWS服务。Larry Chuon指出，AWS或AWS GovCloud可协助企业组织、政府机关保护敏感工作负载，并且加速合规、实现数据隐私。他强调AWS将安全视为第一要务，确保数百万客户在不断发展的自动化环境中，自信且安全地营运；例如藉由AI/ML Analytics等技术，按几下即可自动探索、分类与保护敏感数据，自动化地落实基础架构和应用程序的安全检查。

综观众多公私部门采用AWS商业平台及AWS GovCloud平台的主要动机，在于可加速实现安全与合规计划；与其他平台相比，AWS支持最多安全标准及合规认证，更定期接受第三方验证，达成PCI、HIPAA、FedRAMP、FEC Rule 17A-4、FISMA等数以千计的全球合规要求。另外「责任共享模型」亦是吸引公私部门的重点，由AWS负责云端基础设施的安全控制，包括该区域的全球基础架构、可用区域、边缘位置，还有所有运算、储存数据库及网络等基础服务；有助客户卸除繁重负担，专注经营核心业务，无需分心管理枝微末节。

松本照吾表示，2016年日本政府公布云端缺省原则，声明政府信息系统将优先考虑采用云端服务；相对的，政府也将针对云端服务的优点、开发规模与成本进行检查。但之后日本的云端迁移进度缓慢，系因旧式治理机制仍会妨碍各机构采用新技术，显见相关监管或合规计划亟需转型。在日本公务机关开始规划新的云端合规性计划时，AWS向日本监管机构分享经验与意见，让日本监管机构意识到透过AWS不但加速实现创新，亦可援引AWS的治理和安全控制措施、扩展安全能力。因此日本政府基于信息系统安全管理与评估计划(ISMAP) ，将率先通过ISMAP认证的AWS，列为政府采购云端服务的主要对象，并利用AWS的尖端技术与全球最佳实务，助力实现政府信息系统现代化。

参考NIST CSF，强化云地混合环境的安全部署

AWS专案架构师经理杨仲豪分享云时代CISO需建立的三个观念。首先应打破迷思，云是安全的。其次应把目光放远，未考虑到云安全架构是残缺不完整的。再者应将「善用云服务」列入策略规划，并利用云展开定期及不定期的攻防演练，以增加企业营运韧性。他坦言现今仍有CISO存在着迷思，像是认为WFH员工透过VPN与MFA连接内网，安全无虞；只要有TLS加密保护，在家透过线上桌面(RDP)连回公司工作没有问题；公司的系统通过ISO-27001与PCI-DSS认证，保证安全；上云会导致网安事件与数据外泄，并不安全。

事实上当你的VPN设备有漏洞而未更新，而公司网络又是个大内网、且弱管控，或是有做更新程序但未改口令，也未检查后门程序，才会酿成安全危机；换言之企业惯用的传统高墙式安全架构，其实不安全。反观云端，不管针对人连机器、机器连机器、人连程序、程序连程序、数据存取保护、身份验证和存取管理，每个层次都备有严密防护，显见透过云端更易于实现有效的安全控管。

杨仲豪建议CISO宜以黑客思维来防御，例如借助Amazon GuardDuty、以机器学习模式找出黑客杀伤链中每一阶段的攻击样态，进而做防御，即可增加黑客入侵难度。或善用云原生工具，在恶意程序码安装阶段即可主动展开侦测、控制，及早化解网络钓鱼攻击等各种威胁。

网安实战对谈 Q&A

此次活动另一精彩议程，便是由AWS信息安全顾问李宜谦主持的「网安实战对谈」，与谈人包含趋势科技技术总监刘家麟、勤业众信资深执行副总经理林彦良，以及Gemini Data技术长胡辰澔(Henry Hu)。

刘家麟表示，趋势科技多次参与企业网安事件调查，发现两个值得留意的方向，首先不少企业OT环境未落实弱点管理，哪怕IT环境守得再好，也会让企业曝露于较大风险；其次为了不让黑客轻易透过线上存取与控制、恣意窃取资源，企业需强化线上登入的认证与授权。他形容企业若是发烧的病人，CISO就是负责找病因、开处方的医师，要成为称职医生，可从PDCA的「C」(Check)着手，找出当下企业的关键威胁，先矫正完这一块，再回头依据企业营业特性、合规需求，制定最佳网安政策。

林彦良指出，近年美国证交会、台湾金管会都加强网安信息揭露规定，代表网安事件是足以损害投资权益的大事。因此企业莫将网安视为负资产，而是赢得融资、投资人信赖的关键；且重点不在于企业的网安投资金额多寡，而是高端管理层参与程度深浅。他认为CISO最重要技能在「沟通」，要能说服董事会、网安团队成员、其余一线主管，愿意共同参与加强安全措施的讨论；此外他期许CISO放大格局，不只看IT安全，要看整个Corporate安全，举凡供应链安全、产品安全皆应加以关注。

胡辰澔说，台湾的网安社群重视攻击面、技术面，虽可视为培养CISO技能的途径之一，但不纯然是如此，因CISO不只要懂技术，更要懂得营造「信任感」，让董事会、团队成员、一线主管，都相信CISO做的决定是正确的，因此CISO必须理解产业需求。另外他建议CISO应进行威胁模型评估，厘清重大安全弱点，从而藉由沟通，促使管理高层愿意提拨资源、补强关键罩门。

在下午时段，AWS特别规划「信息安全转型历程」、「信息安全应用工具」双轨议程。前者由来自勤业众信、资拓宏宇、伊云谷的专家，及AWS李宜谦轮番登场，针对网安治理趋势、安全混合云、AWS安全最佳实践、新时代网安人的技能培养等议题提出真知灼见。后者由趋势科技、IBM、奥义智能科技、盖亚信息等专家依序发表演说，深度探讨零信任、网安攻防新法、log4j因应之道。透过这些议程安排，带领企业认知如何滚动调整网安防护观念及工具，与时俱进强化网安布局。