台灣數位安全聯盟理事長蔡一郎。

「在永無止盡的資安競賽中,我們(企業)都不希望變成輸家,因為輸了,我們就會遭受損失。」台灣數位安全聯盟(前身為台灣雲端安全聯盟,去年11月更名)理事長蔡一郎在今年臺灣資安大會中的演講,點出了企業在資安攻防上的挑戰。

特別是當雲端服務已成為人們日常生活中相當普遍的服務,當我們的手機連上網路,後端就可能使用各種的雲端服務。去年歐盟地區開始上路的GDPR(EU General Data Protection Regulation),號稱是最嚴厲的個資保護法,企業若違法可能被處以2000萬歐元或全球營收的4%,GDPR去年甫一上路,臉書、Google兩大科技巨頭就挨告,今年1月Google已被法國政府重罰5000萬歐元。

蔡一郎表示,去年上路的GDPR,對歐盟人士的資料保護有比較嚴峻的條件,有一些人可能認為他們並沒有在歐洲推出服務,覺得GDPR和自己無關,事實上,現在雲端服務已模糊化國界,其他人也能使用雲端服務,就可能牽涉到歐盟的GDPR法規。

過去企業面對資安攻擊時,例如行政部門人員收到、開啟招標文件為內容的社交攻擊郵件,會以不懂資安為由,交給資訊部門去處理,但在網網相連的情形下,「沒有人是局外人」他說,資安威脅不僅和IT及CT有關,企業的OT系統如果存在漏洞,將會導致生產製造環境受影響。

企業應對資安事件的六步驟

他分享了企業應對資安事件可採行的六個步驟:分配清楚職責、定義對風險的容忍度、事件分類、訂定明確的指示、優先移除及復原,最後從每個事件中學到教訓。

當企業遭受資安攻擊會處在一定程度的慌亂中,如果企業事先有一套應變機制就相當重。事先分配清楚職責,對員工進行資安的教育訓練,根據企業內部營運,定義對風險的忍耐程度、預估損失,還包括對上下游供應鏈的影響性,再依事件分類,確立處理的優先順序、先後應變機制,從每個資安事件中學習到經驗。

在分配清楚職責部份,蔡一郎指出包括企業營運及管理階層、利害關係人、資安應變小組,涵蓋了管理者及技術角色,評估對企業營運的影響,並掌握資料外洩的原因,是前端的應用程式有問題,或是系統有漏洞。

企業評估對風險的忍耐程度,擬定業務持續營運計畫,才能決定資源的優先順序,對重要的系統建立備援機制,過去是建立一套備援系統,但成本高昂,現在能夠借助雲端服務彈性調配資源,甚至可做異地的雲資料傳遞。

他表示,現今網路世界並不平靜,每天攻擊量非常大,企業應該掌握每天遭受攻擊的來源、類型、數量,去比較和前一天、上個月或去年的差異,透過SIRT進行事件的分析及調查,清查高風險帳戶,經過偵測分析及關聯調查,擬定行動方案。依資安事件的調查報告,評估事件的影響性,再決定資源的配置及處理流程,建立優先移除及復原。

談到紅藍隊的資安思維,蔡一郎表示,兩者是相反的思維,一般而言,藍隊會以管理好資訊設備,使用供應商擬定好的政策,能不更動就不要更動,避免影響營運,但從資安的角度來看,平均三個月有新的攻擊手法、殭屍網路出現,紅隊思維以攻擊為主,利用探測工具分析企業的網路環境、開發環境、哪些資料是感興趣的,並嚐試以不正當的方式存取這些資料,若成功取得資料,代表存在弱點需要因應。

參考國際資安組織的規範做好企業資安防護

蔡一郎表示,每個企業提供的服務平臺,面對的資安威脅千變萬化,很難有一套標準的解決方案對應不同企業的需求,經過訪談去瞭解其需求,評估資安風險的高低,針對關鍵系統投入資源強化防護,次要系統以較低成本的方式保護是比較可行的。

對於許多企業可能認為內部採取封閉的網路,自行開發程式,在網路、開發環境都高度自主,面對的資安威脅也較其他公司來得小,他認為這樣預設性的想法,往往會讓企業在面對威脅時,忽略掉應該關注的點。

目前在國際資安組織中有三個主要組織,The Honeynet Project,主要從事誘捕等資安技術的研究、Cloud Security Alliance(CSA)關注在雲端的安全相關議,另一個是OWASP(Open Web Application Security Project),聚焦在程式開發的安全、網站營運安全等等。

他也介紹了可供參考的國際資安組織所提出的標準或架構,例如關注雲端安全相關議題的Cloud Security Alliance(CSA),CSA對企業資安提出架構,包含企業營運支援服務(BOSS)、資訊科技支援(ITIL),不同層面的企業服務,最後是安全風險管理,涵蓋了法規面、技術面、管理面的要求。CSA也對GDPR提出合規性的指導原則,供企業合規參考。

而專注在網路應用安全研究的非營利組織OWASP,提出OWASP Top Ten十大網站應用的安全風險,如網頁注入(Injection)、無效身份驗證(Brocken Authiticaton)、敏感資料外洩(Sensitive Data Exposure)、XML外部處理器漏洞(XML External Entities, XXE)等等。在物聯網安全風險方面也有OWASP IoT Top Ten。

蔡一郎表示,企業面對未知型態的資安威脅與日俱增,必須審視自己的資安防禦機制是否有效,在這場資安攻防競賽中,都希望能夠擋下每次攻擊。目前雲端服務已成為企業的平臺之一,應透過技術及管理層面的實施,確保企業營運的安全。另外,跨平臺服務已是未來發展趨勢,現在已進入零信任的網路時代。OWASP Top Ten可以作為企業服務平台的安全指標,但並非唯一,並沒有全面涵蓋。


Advertisement

更多 iThome相關內容