资安愈来愈受各国政府和企业重视,尤其是在Cv新冠(COVID-19,新冠肺炎)疫情爆发后,全球企业营运状况产生变化,从以公司为核心的工作模式将转为远距办公。然而,疫情加速企业对远距工作的需求,以及数位转型的步伐,虽可以有效降低疫情影响,但也使得潜在的资安威胁随之而来。
我们离资安危机很远吗?再不小心!你的私密事就成全球共享资讯,只要轻轻点下一个按钮,小至个人与家中讯息全被看光,大至整间公司的营业机密都可能跟着葬送。 👉 一键风暴资安系列专题》
远距办公逐渐普及,资安风险无处不在
根据 Check Point 最新研究指出,全球企业正在经历新一轮的大规模勒索软体攻击,相较 2020 上半年,过去 3 个月受勒索软体攻击的每日平均次数增加了 50%。随着这些攻击的频率和强度不断加剧,对企业的影响呈指数增长,近期如法国货柜航运巨头、美国保险经纪公司和全球最大的钟錶製造商等知名品牌,相继遭遇勒索软体攻击。
Check Point 情报长 Lotem Finkelsteen 表示,新冠肺炎迫使企业实行远距工作模式,让 IT 系统出现严重漏洞,特别是在过去 3 个月,勒索软体攻击数字呈现惊人的急遽上升态势,网路犯罪分子开始使用较複杂的「双重勒索」攻击。攻击者会窃取大量机密资料,并威胁若不支付赎金将对外公布;在权衡支付赎金和花费时间修复系统之间,企业有时倾向于立即支付赎金,以防宝贵的资料外洩,如此一来便形成了恶性循环。
另外,思科也于「未来安全远端工作研究报告」中指出,亚太地区的企业组织在实施大规模远距办公时,面临网路资安风险大幅提升。其中,73% 的台湾企业自新冠肺炎疫情爆发以来,经历比疫情发生前多 25% 的网路资安攻击或攻击警报,这比例高于亚太地区平均值 69%。
换言之,远距办公的普及,让台湾企业更直接地面对资安漏洞与威胁。54% 台湾企业认为安全存取管理是资安最大的挑战;50% 的企业则担心使用者在验证身分时洩漏资讯;而 49% 企业担心遭受恶意软体攻击。
建构完善资安策略,企业首重三步骤思考
当面对愈来愈庞大、多元,以及精準的资安威胁,企业究竟该如何因应?对此,戴夫寇尔(DEVCORE)执行长翁浩正表示,以往的资安防护,大多针对单一个「点」,例如,公司收到钓鱼邮件、被恶意程式入侵时该怎幺解决。
然而,随着现在资安攻击越来越缜密、有组织性,企业单针对点进行防御是不够的。翁浩正进一步指出,在对资安的需求越来越高、需投入越来越多资源的情况下,大部分企业会不晓得如何建构更完善的资安防护,可能只会照以往的经验,购买更多设备、防毒软体等,但这只是其中一小部分而已。企业应该要有一个「资安方法论」,透过明确的资安策略或标準框架来缓解、降低资安威胁。
▲ 骇客攻击手法愈来愈组织化和多元,资安策略拟定也需更谨慎。
那幺,要如何建构企业的资安方法论?翁浩正建议可先从三大方向思考。第一步,企业可要从执行面切入,先思考公司现在究竟安不安全;也就是说,检视目前企业资安有哪些成效?之后持续在多个领域中进行强化,提升业务绩效并降低受骇时的损害。
第二步则是从主要风险和外在环境两个因素思考,想想企业现在正面临哪些风险。在主要风险方面,企业可思考部分像是:哪些供应商对公司的影响很小?或哪些重大风险均可以在控制的範围内;而外在环境方面,则需思考外部环境可能造成的风险需要哪些战术响应,例如勒赎软体、资料外洩或服务中断等。
第三步,便是企业的资安策略和建议事项拟定,也就是思考企业在资安防御上,需要哪些资源。这方面可从当前执行的资安计画着手,可纪录当前企业的资安状态并批准行动计画;而随着企业资安的流程成熟度越高,愈有机会超过原先订定的基準并持续接近目标值。
简而言之,要发展资安,企业应先订下清楚的资安目标(短、中、长期),像是有顺序的待办清单,或是企业导入防御措施后仍持续降低风险的事项。
▲ 在制定资安策略时企业可从这三大方向思考
「以往很多企业提到资安目标,只是一句我不要被骇,这其实不太算目标,因为太不明确。」翁浩正说。
确立资安目标,每个层面的角色各司其职
当企业有了资安目标之后,接下来,就该定义企业在各阶段应该要做什幺事情,也就是订定资安策略(或框架),而这,就跟组织内部的资安人员有着层层关联。
翁浩正认为,企业应由上而下的建构资安框架,共有四个层面,分别是最高管理层、程序层、控制层以及技术层。这些不同层级也意谓着从风险、程序、控制与技术等面向来建构出完整的资安策略,同时也有不同的国际资安标準可参考;而各个不同的层面分别对应组织内部不同的资安人员。
第一层是最高管理层,所需的便是资安长。资安长即是掌管企业资安风险与目标,可参考的风险资源框架包含 NIST 800-39、NIST 800-30,以及 ISO 27005 与 CIS RAM。简单来说,资安长需要未雨绸缪,也就是盘点并分析问题的优缺点、设定企业理想目标、制订行动计画来达到理想的对策。
第二层程序管理,对应的人员是组织内的资安高阶主管,其任务顾名思义,便是进行资安危机时的流程管控(也就是应变时间),相关的资安流程框架可参考资安管理上所熟知的 ISO 27001,以及近年热门的 NIST CSF。第三层则是控制层面,由一般资安主管(也就是小主管)负责,任务像是制定密码设置规範、多久更新一次密码等,可参考的标準如 NIST 800-53、CIS CSC。
翁浩正补充,简而言之,第二层和第三层的资安人员,任务较偏向防微杜渐,也就是定义对企业营运可能造成冲击的问题、识别造成问题的原因、思考预防问题对策、思考问题发生时的对策。
最后一层,则是技术层面,由第一线的资安技术人员负责。他们专注于技术面,主要掌握防御解决方案与服务,像是评估要买何种资安方案、设备、防毒软体等。换言之,这层面的技术人员主要任务是掌握现况、紧急处理将危害控制在最小範围、查明及分析发生原因、将问题修复并还原、研究对策避免复发。
▲ 企业订定资安框架包含四大层面。
资安是刚需,没有钱也可以发展资安
翁浩正表示,这 4 个层面的资安人员角色所执掌的任务是不一样的,过往企业可能常常将这 4 个层面的角色和工作加以混淆,因而无法建构完善的资安框架。而藉由这样的「方法论」,将有助于企业釐清遭遇的资安问题,并订定更完善的策略,不至于无所适从。
然而,有很多中小企业、新创团队常会说没有钱要怎幺发展资安?其实,建构资安不用花大钱,中小企业也可以从方法论做起。
翁浩正解释,很多中小企业讲到资安,通常想到的是第一个层面,也就是要花大钱添购很多设备、防毒软体等。但从上述的内容可以了解,资安分很多层面,当一间企业的资源不多,可先从某些层面切入即可,后续再慢慢扩展。例如,若是没有说买软体、设备,至少控制措施(如密码、规範)要有;如果没有控制措施,那也可以从流程面着手。
翁浩正补充,假设今天公司被骇客入侵,当察觉被骇后,整个流程的处理时间,是否可以短到骇客来不及拿到资料。若是企业既没有钱投资,也没有控制、流程管理,那至少要知道风险如何承担。
「发展资安有很多方法,没有钱、没有资源,还可投入时间。资安不再是件危言耸听的事情,而是刚需,是本来就要做的事情,而且还可以强化企业品牌价值。」翁浩正最后说。
延伸阅读
- 我们与资安风险的距离!数十兆元地下经济来自你我的轻忽
- 全球资安产值高于 IC 设计,台湾队如何走出国际
- 资安即国安,政府整合产业政策与执行细节落实资安
- 台湾资安发展背后重要推手,专访台湾骇客协会
- 资安人才之渴如何解?落实薪资结构调整、产学培训
- 永不止息的网路安全攻防战
- 盘点 7 种常见的资安风险,看看你犯了哪些错?
