圖片來源: 

iThome

資安很重要,對許多企業資安人員和主管而言,到底應該要怎麼做才能真正做好資安,一直是非常困擾的事情。但是,對於富邦金控副總經理李相臣、星展銀行金融犯罪防治調查暨企業安全部資深副總裁徐子文,以及聯發科IT本部協理劉錫麟而言,「資安要做好,就一定要玩真的。」

iThome電腦報日前舉辦第三屆臺灣資安大會,也加開一場針對臺灣資訊和資安主管的封閉式「臺灣資安大會CISO論壇」,邀請李相臣、徐子文和劉錫麟到場座談。面對越來越複雜的網路攻擊,越來越嚴格的法規遵循要求,甚至越來越難做到的資安防禦,企業或政府的資安人員也越來越不知道,到底應該怎麼做,才能夠真正把資安這件事情做好。

不論是富邦金控、星展銀行甚至是聯發科這三間公司,彼此之間的產業型態、規模甚至是營運模式,或許都有所差異,但要做好資安的背後,三家企業其實都有共通的準則,那就是,務必要落實所有對於人員(People)、流程(Process)和技術(Technology)的資安規定,就是資安玩真的證明。

這對很多資安人員雖然都是老生常談,但是,做好資安的秘訣無他,只要可以真正的落實資安政策和作為,企業都能嚴正看待資安這件事情,就是企業能夠做好資安的關鍵。

人員:態度要積極,千萬不能怠惰

企業到底能把資安做到多好的關鍵,李相臣認為,資安人員的態度是非常重要的參考指標,只有資安人員夠重視、夠在乎,他們才願意主動去了解現在到底有哪些資安威脅,主動掌握資安趨勢,甚至於願意主動學習各種相關的技能。「企業如果沒有在意資安的資安人員,侈言資安對企業到底有多重要。」他說,車子開久會有毛病要保養,系統軟硬體用久也得做修補,沒有滴水不漏的資安防護,因此,資安人員態度也決定企業怎麼看待,大到資安政策落實,小到系統漏洞修補的執行程度。

除了有態度,劉錫麟認為,資安人員所展現的工作效率也很重要。他也坦言,聯發科每天要收集的Log種類就超過一千種以上,從早上上班到遠端連線,甚至是出差等等,每一個環境都要留存不同的Log。

除了要設法利用系統取代IT人員看Log外,他表示,企業更大的挑戰在於,資安人員經手的每一件事情是否做到確實?是否有所怠惰?畢竟,資安人員的一個疏漏,都可能造成公司智慧財產權外洩或影響公司營運,資安人員在執行每一個環節和流程,是否可以真正掌握工作細節就很重要。

「企業對資安人員的要求必須更嚴格,不要讓無法負責、怠惰型態的資安人員在資安團隊裡面。」劉錫麟說,每一個資安細節一定要檢視,如果過了一個月後才發現很多細節疏漏,中間空窗期可能會出現很多資安事件,也因此,資安人員不能自滿,因為對細節的要求永遠都不夠。

臺灣人工作努力也很聰明,但是「管理」一直都落於人後,以星展銀行而言,徐子文表示,新加坡9成是華人,他們可以做好資安就是因為「玩真的」,規定其實和其他公司都一樣,但是卻可以因為公司的超級業務違反公司的資安準則,狠下心直接開除就是證明。

他也認為,負責安全的主管也必須非常有耐性,要能夠不厭其煩的把公司的資安政策和作法,一而再、再而三的重複講清楚,只要是重要的事情,不管是30次還是300次都要說,並且對於對的事情要一以貫之,講久大家才會當真。就像在軍艦上的指揮官一樣,唯一的武器就是麥克風,相信每個人會把自己的分內事情做好,他就負責下達「正確的指令」,這就是資安主管的責任。

流程:從每起資安事件學習資安因應流程

劉錫麟認為,臺灣企業很幸運,有很多專業的資安公司可以引進歐美日韓等最新的資安技術和標準,讓各個公司在資安、風險、政策、控管和系統建置上,都有基本的運作水準,但是,聯發科更在意的其實就是如何在流程上徹底落實,避免一個疏忽、一個緩慢,就會產生資安風險。

他進一步解釋,聯發科一年有15~25個研發晶片開發,由坐落在英國、芬蘭、印度、新加坡、美國和中國等全球27個研發中心合作開發完成,並可以順利將測試完畢的產品回傳臺灣,在這個研發流程如果有任何風險,就會嚴重影響公司營運。

所以,聯發科在每一座研發中心都是先定義出不同層級的風險,不論是資料交換或者是軟硬體產品的驗證等,每一個流程都必須經過嚴格的授權程序才能執行,而每一個定義出來的流程,就會搭配適當的管控機制和Log蒐集。

劉錫麟表示,當公司知道風險在哪裡,知道有哪些控制項目時,落實每一個流程控管就是企業落實資安的管控措施。不過,他也提醒,企業經常面臨流程調整,每個企業至少6個月就應該要因應流程的調整,重新檢視控制項目和細節是否有隨之調整的必要性。

因為沒有百分之百的資安防禦措施,不論怎麼防,都還是會有風險產生,也可能發生資安事件。所以,徐子文指出,好的資安控管流程不是只有具備防禦能力,更重要的是,要有解決並處理資安事件的能力。

像是主管機關往往會懲罰主動揭露資安事件的業者,甚至認為一年都沒有爆發任何一起資安事件的企業才是模範企業,徐子文就認為,主管機關不應該處罰有能力發現問題的企業和資安人員,更重要的是,是否可以從這個資安事件的流程中,學習到事情怎麼發生,並且知道事情該怎麼解決。

他說:「如果企業可以從發生的這起資安事件,學習到攻擊手法並且知道如何因應解決之道,所有付出的成本就不會是浪費,就會是企業提升資安應變能力的學費。」而對星展銀行而言,因為有一個獨立的調查單位,就可以想盡各種方式起訴捉到的壞人。

徐子文表示,企業盡可能提供所有可以找到的犯罪資訊,提供給檢警調等具有公權力的單位偵辦,因為抓到壞人就是惡意各種網路犯罪最好的工具,而搭配起訴的手段,就可以進一步從檢警調單位中,了解並掌握真實的犯罪手法,就可以進一步可以回饋到企業內部的防範流程。他認為,這樣的流程就會成為一個正向循環,對企業資安也有正面幫助。

技術:大膽設黑名單,防範不必要的資安威脅

從網路犯罪觀點來看,李相臣表示,最早的資安事件只是電腦病毒破壞電腦程式或磁碟,到後來有木馬程式偷資料,或者是駭客利用DDoS攻擊手法癱瘓網路服務,近期熱門的則是會加密使用者電腦的勒索軟體。這些網路犯罪技術都顯而易見,但他認為,最麻煩的就是駭客入侵系統卻只偷一筆或特定人的資料,這種針對性攻擊的手法,往往很難被發現。

因此,要如何有效的防範這些資安事件,李相臣認為,重點在於要讓「壞人進得來、出不去。」也就是說,當駭客入侵企業內部時,必須透過各種縱深防禦的方式,阻斷駭客由內而外的通訊聯繫,也因此,他也特別關注內部員工所使用的電腦安全,並且要減少員工不安全的上網行為,提高企業的網路和電腦的安全性。他也建議,因為許多垃圾郵件隱含很多珍貴資訊,企業資安人員其實可以在第一層,就偵測到有哪些病毒、鎖定哪些目標,提早預警。再者,李相臣建議,企業應該要留意有哪些心懷不軌的駭客和手法,如果有人不停的掃描自家企業的IP時,「大膽設黑名單」也是一種好的資安因應策略。

劉錫麟則以自身經驗建議,企業建置的系統一定要定期強化,可以適時引進外部的專家協助企業補強系統安全性,6個月一次的強化檢視措施,都有助於企業維持一定的資安技術強度。


Advertisement

更多 iThome相關內容