AWS揭示网安攻防要领 助企业增强数码韧性

AWS于日前以「解析网安攻防国际实例、强化企业政府数码韧性」为主轴举办「云时代网安战略峰会」。AWS

现今多数企业都认同云端为加速创新、拓展业务的首选环境，更是驱动数码转型的重要平台。惟同时间黑客眼见诸多企业将应用、数据甚至IT基础设施移转上云，便锁定云环境积极寻求破解与入侵之道，连带为企业带来威胁。

着眼于此，AWS于日前举办「云时代网安战略峰会」，并以「解析网安攻防国际实例、强化企业政府数码韧性」为主轴，一方面协助企业在云上顺利推动数码转型，另一方面凭藉云平台上丰富的服务与功能，帮助企业提升数据安全性和合规性，造就强大的网安韧性。

培养网安文化，延揽具攻防经验的专家

AWS台湾暨香港总经理王定恺表示，经济学人将数据喻为新石油，为此AWS提供许多实用工具，让企业能将石油转换成财富。但AWS意识到在数据价值变现的过程，若未做好网安，恐导致财富化为乌有，因而格外注重云端安全。

企业IT部门经常有刻板印象，认为部署防火墙、VPN、防毒…等防护机制，且公司通过ISO 27001认证，已安全无虞。这些设备对企业确实必要，但它们都是上一世纪的技术，对付新型态威胁难免左支右绌，拿这些武器和黑客对垒，好比用大刀抵御敌人的枪炮，技术上完全不对等，自然容易被攻破。

如何扭转劣势？王定恺建议，首先要让人人皆有网安概念，不要随便上不明网站、随便点击邮件附档。其次培养网安文化，将网安意识内化成每个员工的行为准则。再者聘用「真的」专家，即便企业IT或网安人员累积甚多网安技术与经验，仍需与时俱进；至于如何认定为真的专家？第一找懂网安的，第二找与黑客交手过的，第三找打赢黑客的。

另一重点是安全左移与自动化。从产生灵感、设计架构到程序编码，每一段都融入网安概念，并自动化执行安全检测，及早发现并修复漏洞风险。

打造共同基建，加速政府数码转型

AWS全球政府转型总经理 Liam Maxwell，分享其协助英国政府推动数码政策的经验。

他指出多数技术走S曲线，从一开始的创新事物演化成常态商品，但政府很难套用此成长路径，系因政府运作型态复杂。因此要做转型、第一件事就是简化，透过建立共同基础建设与共享服务，加速推动改革。随着共同基础建设向上发展至更高端层，就需要有更复杂的共同基础建设，据以发挥更多功能，此时云端就派上用场。

因为云端是细腻且复杂的共同基础建设形式，让人员不仅能储存、连结、主导数据库，还可执行更多服务。更重要的，云端让英国政府按需采购所需功能且随用随付，避免因变革而承担高昂成本，从而迅速从Discovery、Alpha、Beta迈进Live阶段，实现敏捷架构，确保民众获得实用服务，也确保每次的改变都深具安全性。

此乃由于，若沿用地端各项旧系统，很难确保它们是否更新过；如今转移上云，更易于常态性落实网安政策，且采用AWS禁得起严格监管与稽核的高安全标准，保障每一笔高敏感性的政府信息。

从黑客角度思考防守，依业务需求定义保护策略

本次高峰会的其余亮点，包括由AWS国内外专家阐释如何强化组织数码韧性，并举行一场「云领网安」焦点座谈，由与谈专家畅谈网安韧性心法。

AWS专业解决方案架构师总监杨仲豪建议，企业应打破网安韧性神逻辑，莫将安全寄望于旧有迷思。网安韧性就是止血和回温，可以被打，但绝不能被直捣黄龙、更不能被打死。

正所谓知己知彼，企业需以黑客思维看待防守。根据Kill Chain猎杀链的每一步，对照企业「皇冠上的珠宝」，（意指黑客最爱打、且对企业影响较大的系统）所走的路径，检视当前拥有什麽样的保护力，才能划出后续补强重点，确保将资源放到对的位置。

AWS全球服务安全威胁检测资深安全顾问Richard Billington强调，网安事件回应（IR）是养成网安韧性的首要关键，故企业需有能力查看、检视和证实网安事件；接着检视控制与侦测措施的强度是否足够，及检视IR Playbooks／Runbooks的有效性。

此外企业应定期运行安全事件响应模拟（SIRS），循序执行建构场景、选择参与者、安排执行角色等程序，再衡量事件回应结果，像是检测时间、收容时间、恢复及关闭时间、警报准确性等，并藉由根因分析，排定优先处理的工作级别，利追踪改进成效。

进入「云领网安」焦点座谈，由AWS信息安全顾问李宜谦进行引言，导引勤业众信资深执行副总经理林彦良、HITCON台湾黑客年会创始人徐千洋、Auriga SecurityCEOHenry Hu，发表各自对网安韧性的见解。

徐千洋说，从曾经是创业者的角度来看，若欲经营欧美市场，应采取以SaaS为主的策略，而非依循传统卖产品的思维。他并强调，认真做好法遵、落实BCP永续经营理念，对争取国外客户信任极其重要，切莫轻忽。

Henry Hu认为，不少企业启动云端工作负载时，都曾因错误的设定、或错误的IaC部署，产生重大冲击，故应将此视为基础建设保护的重要一环，并做好对应BCP、IR规划，以便在事发后尽快复原。

林彦良则表示，网安人员须理解，今天被赋予执行网安任务，要做的并非IT网安，而是全公司的网安，需要从业务层面检视需要优先保护什麽标的，切记与业务单位充分沟通对焦，非自己说了算。此外也不要再迷信能挡住所有攻击，除让董事会理解「不是花钱买设备就没事」外，应花心思设想如何「出了事还能继续营运」，这才是BCP规划重点，至于应该多快完成灾难复原，须以业务单位的需求为依归，再由IT与业务共同排定备份备援工作的优先顺序。