圖片來源: 
Gartner

一位醫療供應商的資安長近期檢視公司內部雲端安全防護狀態時,發現預設的存取控制模型造成各種問題。公司的基礎架構即服務(IaaS)供應商將系統預設為安全狀態,只允許業主存取,而軟體即服務(SaaS)供應商則預設了完全公開的存取路徑,因此當公司同時使用多個雲端時,資安長完全不可能一方面手動放寬IaaS權限,另一方面,又能確保SaaS獲得適當管控。

而自動化,正是企業面對此情況時的最佳解決方案之一。

過去企業想了解如何同時提供資安防護並進行風險管理,如今的面向更為複雜,除了評估管理風險、資安外,還須思考如何同時協助企業實現更多價值。而現在能為企業創造價值的最好方法,就是自動化。

自動化的衝擊

自動化已從兩個面向影響全球市場,除了扮演管理資安和風險的角色外,另一個需獲得更多的關注和理解的是展開全新的資安前哨戰。

由於部分企業業務已開始採用雲端、區塊鏈、數位分身(Digital Twins)和沉浸式科技(Immersive Technologies)等新興技術,資安長很容易面臨到不知如何排定優先順序的情況。

許多業務單位可能會在諮詢資安單位前就開始構思解決方案,這代表他們雖然每天都進行科技相關決策,卻往往不了解其中所蘊含的風險。同時,這些資安單位沒有控制權、也不一定能預測企業決策,如此可能對組織帶來十分嚴重的後果;隨著數位商業的潛力與日俱增,此現象更是顯著。

數位轉型改變了資安需求及人才的必要技能組合,造成難以彌補的人才缺口。

企業自動化

許多自動化工具都是專為特定目的所設計,其他的則為自行啟動流程的關鍵環節。有些工具使用單一技術,有些則利用了多種技術。舉例來說,機器人流程自動化(RPA)最適合用在任務導向的環境,或者使用預測模型、迴歸分析和模式配對,來預視未來的預測分析。

有些企業將透過自動化降低成本、實現標準化或增加生產力,有些則利用自動化來提升風險控管的品質和一致性,同時減少人為錯誤。當然,組織也能藉由自動化提高速度和敏捷度。

將自動化應用於三大領域,提升企業價值

資安和風險專業人員若能將自動化應用在身分、資料、新產品或服務的開發等三個領域,則可替企業創造價值。

一、身分識別是所有資安管控的基礎
與身分識別相關的決策,必須受到資安和風險團隊的管控,尤其當企業逐漸轉移至雲端,這將變得更加重要。隨著系統和公司組織日漸複雜,光靠多重密碼來確認身分,已變得困難且具高風險。

相關人員應考慮使用智慧型風險引擎(Intelligent Risk Engine),讓特定流程自動化。利用CARTA手法來辨識身分會是關鍵的一步,因它能確保風險引擎不致太過鬆散或嚴格,卻又對使用者有效益。

二、資料是企業主要價值所在
企業是資料產出的主要來源,若無法保護或看管資料,將付出極大代價,甚至可能造成組織價值受損。

檢視所有IaaS和SaaS應用的存取控制模型(Access Control Models),並考慮使用CASB(雲端存取安全中介)來辨識資料及檔案並加以分類。若將CASB搭配企業數位版權管理(DRM)使用,不論資料存放何處,都能將控制功能擴及整間公司。

三、新產品或服務的開發,為企業工作重點
為取得競爭優勢,企業正不斷開發新產品和服務,並採用能帶來全新商機的新興技術。由於企業對產品上市速度的需求越來越高,DevOps(開發營運)流程很可能會和資安協定相抵觸。自動化有助於達成DevSecOps(開發、資安與營運)的終極目標,也就是,在流程一開始就內建安全防護功能,而不造成負面影響。

企業可以考慮各種不同的自動化選項,如互動式應用資安防護測試(Interactive Application Security Testing),這種以機器為主的解決方案,能讓企業從內部觀察某一種應用的行為表現;團隊也能趁品保測試時順道執行資安測試,不會只使用單一的資安測試方法。

持續自適應風險和信任評估,CARTA為關鍵推手

不論自動化技術將如何被企業使用,資安和風險主管都不能再依賴傳統的資安方案。從持續性的適應風險和信任評估(Continuous Adaptive Risk and Trust Assessment,CARTA)認知到完美防護措施並不存在,而資安必須具有高適應能力,不受時間和空間的限制。從下列圖解來看,就描繪了CARTA在企業中扮演的角色。

資安人員必須有意識地採取適應手法來實現自動化,這除了能讓組織的風險降到最低,也有助於組織獲得價值回饋。另外,也必須以適應手法在風險和信任間達到平衡,於自動化過程中,找到定位以提供價值。

不過,自動化確實會增加風險。舉例而言,演算法可能因設計者的自身限制,而帶有內隱和外顯的偏見;而在不被信任的作業系統環境中,演算法也可能於不知情狀況下,被外部單位所控制。

同時,任何與自動化相關的選擇,都必須感知並適應現況,且能因應未來情勢做出調整。若能正確操作自動化,資安團隊和業務將獲益匪淺。

針對這些至關重要的優先項目,資安和風險管理主管必須分析團隊想要著手的事項、其他團隊的合理能力範圍,以及較不需花費時間或注意力的事項,之後再排定工作優先順序。資安團隊亦須考量如何將自動化與系統整合,以及在CARTA資安概念下,如何合理地應用自動化。

為了調度編配、捍衛價值並賦予創造價值的能力,資安人員要辨識和管理緊張的局勢,並在自動化進程中找到定位。文☉Gartner研究副總裁Katell Thielemann、Gartner諮詢總監Beth Schumaecker、Gartner資深研究總監David Mahdi

CARTA七大要件

一、將一次性的資安把關機制,替換成具有情境感知能力、能夠自適應且具有可程式化特性的資安平臺。

二、持續主動和被動地挖掘、監測、評估風險,並排定優先順序。

三、在數位商業計畫初期即進行風險和信任評估。

四、建立基礎架構時應具有完整且全方位的風險能見度,包括敏感資料的處理方案。

五、使用分析技術、人工智慧、自動化和調度編配(Orchestration),以加速偵測及回應的時間,並和擴大影響力。

六、將資安防護建構成整合的自適應可程式化系統,而非形成資料孤島。

七、將資料驅動的風險決策和風險所有權,交到業務單位和產品負責人手中。

 

專欄作者

熱門新聞

Advertisement