做好监识分析与漏洞检测 有效防止网安事件
发生在2016年7月的第一银行ATM盗领案,不仅震惊全台,更让不少人开始担心,如果连金融业都会有网安问题,其他产业会不会也有类似的问题。勤业众信风险管理谘询公司协理陈威棋指出,如果能从ATM盗领案的来龙去脉,了解如何检核组织内部的网安应变机制,对有效防止网安事件,其实有莫大的帮助。
陈威棋指出,其实从ATM盗领案的关键时间轴来分析,台湾检调单位的动作已经算是相当快,而且在事件发生后,金管会也已经要求台湾各大金控要做后续处理,尤其从9月开始,金融相关单位都有针对ATM设备举办网安攻防演练,攻防演练计划会分成不同小组进行,包括攻击组、防御组、裁判组、规划组及行政业务组等,也可作为其他产业在网安管理方面的参考。
如网安事件发生后,公司整体的应变及后续的调查机制应该怎麽做?有无建立标准作业程序(SOP)?陈威棋强调,网安事件之所以会发生,除了技术面外,关键往往是在管理面。以ATM盗领案为例,车手第一时间领到钱时,整个过程是否有及时显示任何异常状况?监控机制有无发挥其预警机制?为什麽可以这麽容易跨过网络防护机制?第一时间可以从哪里开始调查?是否有能力蒐集足够的数码足迹?如何确认是内部问题?还是外部黑客入侵?
陈威棋指出,ATM盗领案的启示之一,就是让许多企业高端主管更重视信息安全的重要性,不但开始投入资源,将信息安全纳入KPI之一。企业也发现,要有数码证据保全及初步分析能力,不仅方便自清,同时也较能面对未来的诉讼,另建议而针对较旧的操作系统版本,也要有整体的汰换计划。
此外,企业应开始思考从被动防御机制,转变成主动发现威胁强化,如可参考Cyber Threat Intelligence机制导入,积极了解企业内部所使用信息设备类型及网络环境架构,参考在国外最新第一手外部威胁情境。
陈威棋表示,企业不仅要做好网安的事前防御能力、事中侦测机制及事后处理措施,同时应根据不同阶段,来检视有无需要加强防护,而且包括管理面及技术面都要加强。
事实上,许多调查机构早已发现,网安事件持频频传的原因,在于许多企业看待网安管理的态度。陈威棋引述Gartner的「预防无用论」指出,因为攻击者拥有无限次的机会来突破防御,想要成功阻止针对性攻击的入侵,已经不切实际,企业应该永远假设自身正受攻击,故建立整体性的持续防御流程,做好第一时间的因应机制,可能比投入过多资源于预防黑客攻击,更符合实务要求。
陈威棋指出,在与风险共存的时代,网安管理治理议题须拉高至董监事层级,透过与董事会宣导网安风险的概念,将更有成效。此外,企业也可以参酌相关国内外信息安全风险指标最佳实务,如勤业众信的网安风险指标设计框架,透过风险灯号作为警告界面,有利于跟高端主管说明及决通目前网安风险轮廓。
但合规只是起点,企业真正的需求是管理所面临的网安风险,要有还原真相与诉讼支持的数码监识能力,尤其是数码证据保全非常重要,在被攻击的第一时间,就要注意不能破坏数码证据,才能够在网安事件下存活。
同时要进行涵盖业务与IT的网安紧急应变与攻防演练,企业可以用对外的主要网站或内部重要系统为范本实际进行演练,才会看到突发状况会发生的事情,如谁会处理、数据实际保存的状况。
更重要的是,企业要将网安防御提升为威胁情资的对抗,而且要善用外部情资,如网安专家的讨论或国外案例,不要等事件发生后才来讨论,才能有效降低网安风险。