因应AI将无所不在 CloudMile万里云建议企业以现代化网安框架作为规划
- 林稼弘/台北
-
近年企业积极推动数码转型,改采混合办公模式,如今积极拥抱生成式AI。经过一连串进化,固然带动企业营运效能提升,甚至开创新商模;但同时也造成防御边界逐渐消失,增加网安控管难度,同时新型态网安攻击也应运而生,迫使企业须建立网安防护新思维、新做法。
值此关键时刻,万里云(CloudMile)近期进行「2024 台湾企业网安趋势调查」,调查范围涵盖企业网安防御现况、网安风险疑虑、网安事故分布、网安预算投入等面向,期望作为台湾企业制定网安策略的参考依据。
仅一成企业导入零信任,未来补强空间仍大
以下呈现此次调查的重点精华。首先有关台湾中、大型企业最担忧的前三大网安风险,依序为勒索软件、恶意程序、网络钓鱼。
其次有监于近年产官学各界提倡「零信任」,加上「安全信息与事件管理」(SIEM)、「安全编排、自动化及响应」(SOAR),都被视为企业防御新型态攻击的必备架构。故这次调查也探询企业的导入情况,惟包括零信任、SIEM和SOAR的导入比例仅一成上下,尚有极大补强空间。
再来针对近期网安事故分析,其中一项重要发现为「四成企业过去1年曾发生网安事故,受影响范围以网站为大宗」。至于对应的防御策略、风险评估方式及预算规划趋势,重点是「超过四成企业未来1年内将强化网安防御」,在2024年有计划强化网安防御的企业中,「超过三成企业网安预算占IT总预算10%以上」。
采用基于 AI 与云端的工具,提高网安维运效能
CloudMile万里云解决方案架构团队主管梁文典长期深耕网安领域,他分享从调整报告中看到比较可喜的现象,包括人员网安风险意识的提升、强化防火墙管理、遵循网安架构等。但仍有需要加强关注之处,譬如网安人才仍显匮乏,尤其能同时兼顾云、地端的网安人才更是稀缺;建议企业应该更加专注培养内部网安人才,或是引进具有AI功能的网安产品,以降低人员对工具的学习曲线,此外企业应尽可能采用基于云端的网安工具,减少网安人员 维护工具的负担,进而增进防护效率。
其次即使大部分企业已建置防火墙,但网安攻击事件依然频传,意谓单凭这样的防御并不足够。由于企业网络环境从封闭走向开放,故需建立更先进的网安思维,譬如零信任概念,采取「永不信任,一律验证」原则,即使是已存在于机构内部的装置,也需进行验证。此外多数企业已导入ISO 27001等国际标准,也据此建立内部管理制度与流程,但在管理制度的落实面仍有待加强,尤其需要强化网安日志审查,亦需将ISO 27001验证范围从机房或AP开发扩及全公司。
除ISO 27001外,应同步评估NIST CSF与CIS Benchmark
展望今后网安布局,梁文典则建议企业组织建立符合现代化潮流的网安思维,从而落实Shift Left、自动化两大策略。其中Shift Left意指在开发生命周期早期阶段整合网安措施,及早侦测与修补漏洞;否则若等到开发完成后才检出弱点,不论是修复成本与风险都将急遽升高;其次应藉助自动化工具,高效率执行日常管理作业,并准确执行事故应变。
另建议企业执行完整的网安架构评估,除重视ISO 27001这类以管理流程为主轴的国际标准外,亦需关注NIST CSF与CIS Benchmark这类以技术管控为主轴的标准。例如以NIST CSF 2.0定义的治理、识别、保护、侦测、回应及回复功能为基准,对照企业现行防御机制,再透过以风险为基础的评估方法发觉潜在威胁,寻找对应补强方案,以利企业在推进数码转型的同时也做好网安转型。
而在网安转型过程,企业不妨与网安顾问合作。网安顾问大致分为策略顾问、流程顾问、技术顾问三类。其中策略顾问偏向High Level,协助企业找出大方向;流程顾问偏向程序文件的制定;技术顾问比较像是万里云这类业者,可针对技术问题给予建议。当然企业在评估与网安顾问合作时,需要做好一些准备工作,像是确定需求与目标、评估内部网安状况、制定合作范围与计划,以及建立沟通管道。
藉助云端SIEM/SOAR,以AI与情资驱动日志审查
深究零信任尚未普及的原因,在于零信任实作面蕴含身份监别、设备监别、信任推论等诸多环节,且需针对网络及资源实施细致化权限控管,其间难免涉及地端整体 IT基础架构或应用程序面的改写,对于企来说确实有难度。梁文典建议企业与其在地端苦苦挣扎,不如善用云上已经就绪的网安管理工具与自动化机制,加速实践零信任。
论及CloudMile万里云可为企业提供的网安服务,主要涵盖网安评估顾问服务、技术导入规划与建置服务、到日常维运的托管服务等内容,而迄今已累积许多成功案例。
比方说CloudMile依据CISA的Zero Trust Maturity Model,藉由顾问手法,协助客户制定零信任导入 策略和步骤;也曾协助知名制造企业从原本地端以Rule-base的分析模式,改采Google Cloud以AI与情资(含Mandiant、VirusTotal )驱动的SecOps SIEM/SOAR平台来分析稽核日志,借此降低维运地端网安设备的人力成本,并大幅提升网安事件侦测与应变效率;另协助知名高科技大厂托管云端平台,当发生系统或网安异常事件时,便由CloudMile万里云台湾与东南亚维运中心内的7x24值班人员,在第一时间通知客户并排除问题。
总括而论,CloudMile万里云能协助企业从前期网安顾问谘询、风险评估,到实际导入网安最佳实践与网安架构,打造企业最适网安架构与防御措施。
