一鍵風暴》如何建構面面俱到的資安策略?企業可從四大層面著手
作者 | 發布日期 2020 年 11 月 19 日 8:31 | 分類 物聯網 , 社群 , 科技政策 Telegram share ! follow us in feedly


資安愈來愈受各國政府和企業重視,尤其是在武漢肺炎(COVID-19,新冠肺炎)疫情爆發後,全球企業營運狀況產生變化,從以公司為核心的工作模式將轉為遠距辦公。然而,疫情加速企業對遠距工作的需求,以及數位轉型的步伐,雖可以有效降低疫情影響,但也使得潛在的資安威脅隨之而來。

我們離資安危機很遠嗎?再不小心!你的私密事就成全球共享資訊,只要輕輕點下一個按鈕,小至個人與家中訊息全被看光,大至整間公司的營業機密都可能跟著葬送。 👉 一鍵風暴資安系列專題

遠距辦公逐漸普及,資安風險無處不在

根據 Check Point 最新研究指出,全球企業正在經歷新一輪的大規模勒索軟體攻擊,相較 2020 上半年,過去 3 個月受勒索軟體攻擊的每日平均次數增加了 50%。隨著這些攻擊的頻率和強度不斷加劇,對企業的影響呈指數增長,近期如法國貨櫃航運巨頭、美國保險經紀公司和全球最大的鐘錶製造商等知名品牌,相繼遭遇勒索軟體攻擊。

Check Point 情報長 Lotem Finkelsteen 表示,新冠肺炎迫使企業實行遠距工作模式,讓 IT 系統出現嚴重漏洞,特別是在過去 3 個月,勒索軟體攻擊數字呈現驚人的急遽上升態勢,網路犯罪分子開始使用較複雜的「雙重勒索」攻擊。攻擊者會竊取大量機密資料,並威脅若不支付贖金將對外公布;在權衡支付贖金和花費時間修復系統之間,企業有時傾向於立即支付贖金,以防寶貴的資料外洩,如此一來便形成了惡性循環。

另外,思科也於「未來安全遠端工作研究報告」中指出,亞太地區的企業組織在實施大規模遠距辦公時,面臨網路資安風險大幅提升。其中,73% 的台灣企業自新冠肺炎疫情爆發以來,經歷比疫情發生前多 25% 的網路資安攻擊或攻擊警報,這比例高於亞太地區平均值 69%。

換言之,遠距辦公的普及,讓台灣企業更直接地面對資安漏洞與威脅。54% 台灣企業認為安全存取管理是資安最大的挑戰;50% 的企業則擔心使用者在驗證身分時洩漏資訊;而 49% 企業擔心遭受惡意軟體攻擊。

建構完善資安策略,企業首重三步驟思考

當面對愈來愈龐大、多元,以及精準的資安威脅,企業究竟該如何因應?對此,戴夫寇爾(DEVCORE)執行長翁浩正表示,以往的資安防護,大多針對單一個「點」,例如,公司收到釣魚郵件、被惡意程式入侵時該怎麼解決。

然而,隨著現在資安攻擊越來越縝密、有組織性,企業單針對點進行防禦是不夠的。翁浩正進一步指出,在對資安的需求越來越高、需投入越來越多資源的情況下,大部分企業會不曉得如何建構更完善的資安防護,可能只會照以往的經驗,購買更多設備、防毒軟體等,但這只是其中一小部分而已。企業應該要有一個「資安方法論」,透過明確的資安策略或標準框架來緩解、降低資安威脅。

▲ 駭客攻擊手法愈來愈組織化和多元,資安策略擬定也需更謹慎。(Source:趨勢科技

那麼,要如何建構企業的資安方法論?翁浩正建議可先從三大方向思考。第一步,企業可要從執行面切入,先思考公司現在究竟安不安全;也就是說,檢視目前企業資安有哪些成效?之後持續在多個領域中進行強化,提升業務績效並降低受駭時的損害。

第二步則是從主要風險和外在環境兩個因素思考,想想企業現在正面臨哪些風險。在主要風險方面,企業可思考部分像是:哪些供應商對公司的影響很小?或哪些重大風險均可以在控制的範圍內;而外在環境方面,則需思考外部環境可能造成的風險需要哪些戰術響應,例如勒贖軟體、資料外洩或服務中斷等。

第三步,便是企業的資安策略和建議事項擬定,也就是思考企業在資安防禦上,需要哪些資源。這方面可從當前執行的資安計畫著手,可紀錄當前企業的資安狀態並批准行動計畫;而隨著企業資安的流程成熟度越高,愈有機會超過原先訂定的基準並持續接近目標值。

簡而言之,要發展資安,企業應先訂下清楚的資安目標(短、中、長期),像是有順序的待辦清單,或是企業導入防禦措施後仍持續降低風險的事項。

▲ 在制定資安策略時企業可從這三大方向思考(Source:戴夫寇爾)

「以往很多企業提到資安目標,只是一句我不要被駭,這其實不太算目標,因為太不明確。」翁浩正說。

確立資安目標,每個層面的角色各司其職

當企業有了資安目標之後,接下來,就該定義企業在各階段應該要做什麼事情,也就是訂定資安策略(或框架),而這,就跟組織內部的資安人員有著層層關聯。

翁浩正認為,企業應由上而下的建構資安框架,共有四個層面,分別是最高管理層、程序層、控制層以及技術層。這些不同層級也意謂著從風險、程序、控制與技術等面向來建構出完整的資安策略,同時也有不同的國際資安標準可參考;而各個不同的層面分別對應組織內部不同的資安人員。

第一層是最高管理層,所需的便是資安長。資安長即是掌管企業資安風險與目標,可參考的風險資源框架包含 NIST 800-39、NIST 800-30,以及 ISO 27005 與 CIS RAM。簡單來說,資安長需要未雨綢繆,也就是盤點並分析問題的優缺點、設定企業理想目標、制訂行動計畫來達到理想的對策。

第二層程序管理,對應的人員是組織內的資安高階主管,其任務顧名思義,便是進行資安危機時的流程管控(也就是應變時間),相關的資安流程框架可參考資安管理上所熟知的 ISO 27001,以及近年熱門的 NIST CSF。第三層則是控制層面,由一般資安主管(也就是小主管)負責,任務像是制定密碼設置規範、多久更新一次密碼等,可參考的標準如 NIST 800-53、CIS CSC。

翁浩正補充,簡而言之,第二層和第三層的資安人員,任務較偏向防微杜漸,也就是定義對企業營運可能造成衝擊的問題、識別造成問題的原因、思考預防問題對策、思考問題發生時的對策。

最後一層,則是技術層面,由第一線的資安技術人員負責。他們專注於技術面,主要掌握防禦解決方案與服務,像是評估要買何種資安方案、設備、防毒軟體等。換言之,這層面的技術人員主要任務是掌握現況、緊急處理將危害控制在最小範圍、查明及分析發生原因、將問題修復並還原、研究對策避免復發。

▲ 企業訂定資安框架包含四大層面。(Source:戴夫寇爾

資安是剛需,沒有錢也可以發展資安

翁浩正表示,這 4 個層面的資安人員角色所執掌的任務是不一樣的,過往企業可能常常將這 4 個層面的角色和工作加以混淆,因而無法建構完善的資安框架。而藉由這樣的「方法論」,將有助於企業釐清遭遇的資安問題,並訂定更完善的策略,不至於無所適從。

然而,有很多中小企業、新創團隊常會說沒有錢要怎麼發展資安?其實,建構資安不用花大錢,中小企業也可以從方法論做起。

翁浩正解釋,很多中小企業講到資安,通常想到的是第一個層面,也就是要花大錢添購很多設備、防毒軟體等。但從上述的內容可以了解,資安分很多層面,當一間企業的資源不多,可先從某些層面切入即可,後續再慢慢擴展。例如,若是沒有說買軟體、設備,至少控制措施(如密碼、規範)要有;如果沒有控制措施,那也可以從流程面著手。

翁浩正補充,假設今天公司被駭客入侵,當察覺被駭後,整個流程的處理時間,是否可以短到駭客來不及拿到資料。若是企業既沒有錢投資,也沒有控制、流程管理,那至少要知道風險如何承擔。

「發展資安有很多方法,沒有錢、沒有資源,還可投入時間資安不再是件危言聳聽的事情,而是剛需,是本來就要做的事情,而且還可以強化企業品牌價值。」翁浩正最後說。

延伸閱讀

(首圖來源:微軟)