烏雲背後總有一線光芒,在今(4/17)日於美國舊金山登場的全球最大資安會議RSA Conference,RSA總裁Rohit Ghai樂觀地表示資安整體情況是變得更好,而不是更糟。他呼籲資安業界不要再只強調資安威脅,應該將重心放在烏雲背後那道希望的曙光,多強調有助於啟發與改善資安的好方法。

Rohit Ghai表示,去年登上報紙頭條的資安新聞,提醒我們前所未見的數位威脅是存在的,雖然資安也因此蒙上了陰影,令人懷疑這麼多年大家在資安的付出是否有用,但他認為資安整體是變得更好,而不是更糟。他說,其實很多成功抵禦駭客攻擊的事件不為人知,因為成功的防禦事件並不會登上報紙,主要原因也是防禦者不想透露細節。然而,整體資安情況是越來越好。

Rohit Ghai也坦承地說,這幾年來推動資安業界進前的動力,其實是來自於擔心被擊垮的恐懼。資安業界對於駭客攻擊的重視,遠高過於對自身安全提升的重視。現在與其談論未來的威脅,倒不如多探討未來的安全還要來得有幫助。他呼籲業界要換個方式,思考有哪些做法是可以讓資安變得更好,讓大家從中獲得更多的啟發。

Rohit Ghai認為有三個方法可以為資安帶來曙光(Silver Lining),分別是:「不要再幻想有銀彈」、「資安防禦的快銀法則」、「團隊合作的魔力」,其中背後的主要原則是持續改善、快速反應與協同合作。

資安曙光 1:不要再幻想有銀彈

除了大方向做對,更不能忽略小細節。在任何一個地方都有1%的改善,比起追求有朝一日刀槍不入,絕不被入侵,保持著每天持續進步要來得實際。

以風險導向來思考資安,風險就不會是敵人,愛迪生說需求為發明之母,Rohit Ghai進一步表示,那麼風險就是保險之母,而面臨資安風險,資安保險就是資安之母。他指出,目前資安保險市場約25億美元,預期將在2020年成長至140億美元的市場規模,而資安保險的一個好處是讓資安風險對價,對風險評估有量化的標準,轉換為企業主與業務同仁都能理解的語言。

Rohit Ghai表示,WannaCry喚醒大家需要更重視資安衛生習慣(Cyber Hygiene)等小事情,畢竟駭客也是人,他們的資源再多也是有限度,而做法也有跡可循,例如駭客在挑選攻擊對象時,一定先選大目標與易攻擊的目標,所以,讓自己變成容易被攻擊的目標就不是一件好事,而更新修補檔與身分認證整合管理就是必須要做的。

資安曙光 2:資安防禦的快銀(Quicksilver)法則

現在科技的發展不只是成等比級數,而且科技被採納的速度也越來越快。新科技對攻擊端與防禦端而言都是一種武器,當企業開始採納AI人工智慧,攻擊者也會把AI當武器,然而一旦AI被誤用,就可能帶來大災難。

新科技通常等於新的風險弱點,Rohit Ghai指出,我們必須比敵人搶先一步,以更快的速度採用科技,在技術開發階段就把資安考量進去,而不是產品完成後再外掛資安補強措施,同時也要以更快的速度反應資安威脅,像是藉助智慧機器輔助人類,又或是藉助DevOps的觀念,以自動化協同工具讓防禦能更及時。

資安曙光3:團隊合作的魔力

Rohit Ghai表示,各個層面都對於資安有所認知,能夠彼此合作非常重要。他指出,企業在董事會中討論資安議題的現象已經越來越普遍,89%的企業的董事會都已經這麼做,相較於2012年則只有4成左右。而打造多元化的團隊,促成整個業界上下游的合作,將會帶來意想不到的效果。

此外,Rohit Ghai也強調信任是資安的本質,他說資安威脅讓每個人的職涯都受到挑戰,舉凡Equifax、Yahoo等重大資料外洩事件,以至臉書的用戶資料使用、假新聞等問題,都在打擊我們對於民主的信任。我們好不容易花了很長的時間建立起來的信任,很容易因為一個不慎而毀於一旦。他呼籲整個業界要共同承擔資安帶來的風險與科技信任的問題。

他鼓勵資安人員,即便資安人員的功勞終究上不了新聞頭條,但隨著世界變得越來越複雜,資安人員要擔起保護人們與技術的責任,促成數位化的發展,進而帶來更安全的社會。


Advertisement

更多 iThome相關內容