落实数据保护机制 微软与众夥伴强化企业营运韧性

软网安全球黑带技术专家唐万容则认为，公司与供应链间密切的相依性，将使得黑客透过入侵供应链厂商的弱点。为避免此类发生，企业应该透过持续性的探索定义出受攻击面边界，才能进一步分析潜在的风险、威胁及可能的冲击，并设定处理优先权。DIGITIMES摄

层出不穷的各种网安事件，让企业开始意识到网安防护的重要性，纷纷扩大在网安领域的投资。金管会更透过修改公司法方式，要求上市柜公司需在指定时间内设立网安专责单位，借此强化安全意识与做好安全规划。2023年3月17日Microsoft与DIGITIMES共同举办「数码造局 网安并行」企业网安高峰论坛，邀请各方专家与会，分享最新网安趋势与方案，助企业强化数码韧性、建构安全环境。

2023年迄今没多久，台湾已传出华航、iRent等上市柜公司被黑客入侵，且爆发个资外泄的重大网安事件，对消费者权益带来极大影响。为此，2023年3月9日金管会要求各上市柜公司，需从信息揭露层面、公司治理层面、监理协助层面等三大面向，强化整体网安管理工作。若网安事件造成公司重大损害或影响，必须在台股开盘前2个小时以前要对外发布重大信息，若未揭露依法可处以3~500万元罚锾。

在「从数据保护及合规谈网安」的分组论坛上，安永企业资深经理蓝健铭说，在消费者意识抬头下，世界各国几乎都已制定一套消费者数据保护法，我们建议企业应该从识别、标示、保护、监控、持续改善等方法着手，才能符合法规要求。安永推出的数据保护控制架构，以自动化、整合和可持续性为重点，可协助企业加速导入合适的解决方案，在保护数据安全、符合法规要求外，也能维持得来不易的商誉。

落实数据保护机制 可减少数据外泄事件

在黑客攻击手法持续进化下，全球各地持续爆发规模不一的数据外泄事件，其中最着名案例，莫过于Facebook有高达5.33亿笔用户个资遭张贴在黑客论坛上，该公司因违反GDPR规定，被主管机关处以2.65亿欧元罚金。至于近期台湾最严重外泄事件，则是前述提到的华航、iRent等，而综观现今发生数据外泄主因，可分成外部安全性漏洞、外贼恶意攻击、人为疏失、内鬼泄漏机密等四大类，最终都将造成难以估计的经济损失。

尽管企业已体认到强化数据保护的重要性，但若要落实相关数据保护机制，正面临信息技术、使用者行为、管理政策等三大挑战。如在混合云环境下，数据存放位置跨越云端与地端，加上移动设备普及、线上办公、BYOD等趋势下，也让数据管理工作变得更为复杂。

自由系统CEO俞伯翰指出，为协助企业做好数据保护工作，我们特别代理备受全球用户肯定的Microsoft Purview。这套云端DLP具备通讯合规性、数据外泄防护、信息保护、内部风险管理等四大特色，可侦测、调查贵组织中的关键风险，并对其采取移动，包括数据窃取、数据外泄和安全性原则违规。Microsoft Purview会运用机器学习演算法等机制，侦测符合DLP原则的内容，并透过预先定义的DLP原则，保护公司内部的敏感数据。

「为协助因应云端合规挑战，我们建议企业可考虑Microsoft Defender for Cloud，这款产品具备云端安全性状态管理、云端工作负载保护平台等功能，能部署于云端或混合云环境中。」云馥数码云端技术服务处主任蔡嘉豪解释：「Microsoft Defender for Cloud会针对系统安全性风险进行侦测，并提供建议动作来保护 工作负载，能有效降低数据外泄风险。」

做好云端数据保护 微软推CAF架构

随着企业对公有云服务日益依赖，其背后也隐藏资源盗用（取得帐号权限 、 挖矿、DDoS）、身份权限设定异常（如掌握使用者帐号、帐号提权）、数据规则设定异常（变更数据规则、存取、泄漏机敏数据）、应用程序面漏洞（如开源软件使用频率、潜在风险漏洞）、恶意流量（如恶意程序入侵、与外部持续通讯）等风险。

宏碁信息云端架构顾问林佑毅表示，为让企业能安心使用Azure平台上的各项服，微软云端采用安全架构-Microsoft Cloud Adoption Framework for Azure，这是一个帮助企业、组织或个人使用云端平台的架构，让企业在云端平台上更容易地设计、开发、部署和管理应用程序。该架构提供有效率与丰富完整的参考指引，在可被控制与稳定的前提下快速实现成果，并确保业务面、人员面与技术策略面等一致性，能达成业务目标、强化整体营运韧性。

近期各地持续发生各种供应链攻击事件中，企业必须了解供应链必须被视为受攻击面的延伸，因为公司与供应链间密切的相依性，将使得黑客透过入侵供应链厂商的弱点，进而对公司发动攻击。微软网安全球黑带技术专家唐万容则另认为，为避免此类发生，企业应该透过持续性的探索定义出受攻击面边界，才能进一步分析潜在的风险、威胁及可能的冲击，并设定处理优先权。而做好外部攻击面管理（EASM），正是有效降低组织风险及漏洞的基础。

要防堵黑客入侵事件发生，除弱点扫描、渗透测试之外，引进红队演练服务，藉由攻击者与防守者对抗过程找出攻击途径，也是近来主流。数联网安网安服务处处长陈宏昌举例，所谓红队演练是由网安专业人员组成攻击方，模拟黑客突破网络安全控制，企业可从对抗过程中，找寻可被利用的弱点，进一步提权及横向移动到目标主机，最终强化组织整体的网安防护能量，而数联网安则是少数能提供此服务的业者。

综合以上内容，无论是数据保护及合规谈网安、或者是建构企业数码网安韧性，面对无孔不入的恶意威胁，企业应该持续落实各项资通安全防护工作，微软也将与众夥伴推动持续精进安全架构，协助数码发展企业有效强化营运韧性，因应来自四面八方的挑战。

免费下载精选资源：

《在混合式工作环境中确保数据安全》：企业全面性的保护数据才能降低遭受威胁的风险，否则一不留意将成为无法挽回的安全漏洞，立即了解正确的执行做法。

《四个步骤实现合规性》：立刻了解如何善用Microsoft 365随时随地保护数据，并履行企业应实践的合规性义务。

《透过 Microsoft 合规性分数简化合规性并降低风险》：Microsoft透过受信任的平台和工具来简化合规性，而产出的风险型分数有助于协助企业了解目前的合规程度，免费下载、深入了解！

《微软云端，企业数码转型的安全堡垒》：「安全性」实属企业营运与创新的基础，微软可以怎麽帮助你的企业？为什麽是您最好的选择？立刻点击了解！

《时时关注不断变化的网络安全角势》：网络与科技一日千里，威胁与攻击也是不断创新，立即了解现在的网络安全角势，才能随时应变。

《将您的安全性作业现代化》：你的安全性作业更新了吗？若想知道最新的现代化做法，快收藏本电子书，马上学习即可开始评估与保护。