「任何希望想要變成資安長的人,小心你許的願望」,曾擔任過美國國家偵查局、美國國家地理空間情報局資安長的Lance Dubsky,打趣地說著,資安長這份工作讓頭髮茂密的人也會變成光頭。

過去Lance Dubsky得到處視察美國空軍亞洲各地基地的資安基礎架構,現在則進入業界,在英國航空零組件製造公司Meggit PLC擔任資安總監,這是Lance Dubsky第3次擔任資安長,但所帶領的資安團隊規模,卻從250人,減少到現在只有11人,「當團隊很小的時候,資安長必須要用更聰明的手法做事。」他說。

沒有策略,別急著採購資安產品

Lance Dubsky表示,企業發生資安攻擊事件時,CIO常遭責難,但這並非他的錯誤。而是因為許多企業仍有許多使用超過10年的老程式或基礎架構,就算有相當高的風險,但企業內部員工往往因習慣既有的操作模式,極力說服資訊長不要汰換。

「資安預算通常只占IT預算中的5%」,這麼有限的預算如何發揮最大效益呢?Lance Dubsky認為,企業必須聰明的投資,「資安長不應該在還未建立具體策略時,急忙投開始添購資安產品。」首先,資安長得先了解現有基礎架構、應用程式的運作情況,「掌握企業目前的風險程度。」

他舉例,資安長的職責之一,就是評估既有資安設備的存在價值,並建立資產清單。他表示,有時企業重複購買目的相同的資安設備,卻渾然不查,「為什麼要重複買不同廠牌,但功能一樣的漏洞掃描工具或防火牆設備呢?」

「資安長必須時時追問為什麼。」Lance Dubsky觀察,許多企業IT部門常會要求採購新穎資安設備,還威脅若不趕緊採購,企業就會遭受資安攻擊。他表示,資安長必須馬上介入,追問IT部門,為何必須要採購這些產品,真的急需嗎?

不過,有時資安長也會對現況過於樂觀,「其實企業早已經被入侵,只是還沒發現,」因此他建議,企業資安長必須趕緊擬訂財務計畫,建立公司內部的資安計畫。

預算有限就靠委外,但要做好廠商管理

在資安人力有限時,Lance Dubsky認為,企業必須仰賴外部服務,像是外部防火牆、入侵偵測服務,以及滲透測試,才能以有限預算建立起足夠的資安防護。其實人多不一定好辦事,像他目前帶領的資安團隊只有11人,「目前我們不想部署太多人力,過多員額會帶來負擔。」在企業導入更多外部資安服務的同時,廠商管理(Vendor Management)的任務也隨之而來。Lance Dubsky表示,過去他引入某家資安廠商的防火牆服務時,卻因為廠商錯誤設定防火牆政策,導致服務中斷,因此他也決定撤換新的服務供應廠商。

隨著資安事件、網路詐騙層出不窮的發生,許多不法人士已經著手瞄準這一塊黑色產業的商機,「比起做合法職業,非法利潤來得更高。」他觀察,出現了組織型犯罪集團,運用不同的惡意軟體,向企業發起多階段、多維度的資安攻擊。

內部使用者的不當操作,讓資安威脅雪上加霜,Lance Dubsky表示,無論企業如何進行內部教育,仍無法完全杜絕員工無意間打開了釣魚郵件的惡意連結,「只要有一個人犯錯,企業內部的資訊就很有可能外流」,美國政府多起資安事件也正是這種不良的電子郵件使用習慣所致。

落實組態管理是系統長期安全的關鍵

Lance Dubsky也表示,企業必須建立基本的資安習慣,「光是如此就能降低80%資安攻擊事件的發生。」他舉例,近期許多詐騙事件,都是透過社交工程手法,犯罪者假冒企業內部員工,向IT管理者索取帳號、密碼等資訊,藉此取得系統權限來竊取機密,為了減少此事風險,他建議,企業應該集中握有最高登入權限的員工帳號強化管控,「與其給予1千人最高登入權限,不如將規模縮小至40個人,降低意外發生的機率。」

除此之外,Lance Dubsky表示,企業想要打造安全的系統,不只是設計階段要注重安全,後續維運上,「確保組態設定的正確性更重要。」他觀察,許多企業自行開發的系統一開始很安全,隨著時間過去,組態設定經過許多次調整後,就開始出現了風險。因此,資安長得意識到「組態設定管理的重要」,疏於組態管理,甚至讓任何人都有權更動,這將降低內部軟體的安全性。

將軟體更新變成習慣

另外一個大家都知道,但卻不一定能落實的基本動作就是定期更新軟體,「最好使用最新版本。」Lance Dubsky強調:「更新能幫資安長打造安全的企業環境」。許多企業、組織仍在用超過20年的Windows NT作業系統,像是他曾過境哥斯大黎加,卻發現當地機場的護照系統,仍然部署於Windows NT。若因預算有限不能時時添購最新版本,退而求其次,「至少必須使用目前廠商還有支援、更新的版本。」

最好將定期更新系統變成習慣,「我一直認為更新是個好習慣,企業可藉此減少風險」,Lance Dubsky表示,軟體更新步調慢,自然就會成為駭客的主要攻擊目標,尤其是政府機關。「駭客很清楚這件事,自動會找簡單的目標下手。」因此他建議,只要廠商一有更新,企業馬上下載、部署新版,「就可以大幅度縮短暴露於風險中的時間。」

賦予員工質疑命令的權利

除了這些基本但容易疏忽的作法,Lance Dubsky認為,強化企業對內對外的溝通,也有助於降低資安風險。他舉例,財務部門是企業處理外部訂單、匯款作業的單位。若其中一位員工收到財務長來信,要求該員改變既有企業客戶慣用的匯款帳號時,「究竟會有多少員工敢質疑這封信的真實性?」其實不多,因此,他建議,企業高層主管必須賦予員工足夠的權利,鼓勵員工若收到這類可疑的電子郵件時,主動提出質疑並且向上回報,來減低造成企業損失的機率。

資安長得和企業往來公司建立緊密溝通關係

甚至不只是假冒高層來詐騙內部員工,他舉例,許多精明的網路犯罪者,會利用竊取到手的內部資料,假冒企業名義,以偽造的企業網址、電子郵件,向企業的合作廠商、往來企業、詐騙訂單款項,「如果不注意,往來企業的財務人員也很容易就會匯款。」因此,有商業往來的企業間在資安上也要互相合作,建立一套溝通SOP作法,像是遇到變更匯款帳號等重大財物決策異動時,不能僅靠電子郵件溝通,還必須透過正式公文程序來確認。同時,企業也可以加強與網域代管服務業者的聯繫,當出現盜用企業名義的可疑註冊網域時,也能獲得通知。Lance Dubsky建議,資安長必須與各關係企業建立一套緊密、定期來往的溝通網路,尤其是與旗下供應商、夥伴及客戶所形成緊密的生態系,資安長得了解所屬公司上下游廠商的交易型態,也能避免企業成為資安事件的受害者。

強化資安與IT服務加速並不衝突

「對資訊長而言,資安是一種選擇」,他苦笑說,若為了加速營運步調,沒有將資安視為首要,「這反而讓產品變得很危險。」Lance Dubsky表示,資訊長的目標是推出更多資訊服務、加強服務可靠性,而資安長的職責,是要確保企業提供的服務足夠安全,雖然兩者有時會產生衝突,「但資安長也可以協助企業加快步調。」他舉例,資安長直接派資安工程師參與開發,更快打造出安全的系統,藉由雙長合作來創立雙贏。Lance Dubsky認為,稱職的資訊長會做出正確的決定,在開發階段之初,就加強資安。


Advertisement

更多 iThome相關內容