強化資安策略將是企業抵禦日漸俱增的威脅攻擊,不可輕忽的環節之一。Check Point威脅情報部門發佈之《網路攻擊趨勢:2023 年中資安報告》指出,黑色產業鏈蓄集不斷進化的能量,以致來自勒索軟體的攻擊更加兇猛,光是在台灣,平均每間企業遭受了3,245次攻擊,跟去年同期相比增長了10%,輕輕鬆鬆在受害國家榜上取得全球第一。
AI人工智慧等新世代科技的飆速發展,同樣惠及了駭客組織與病毒攻擊的進化速度,因此企業資安擴展縱深防禦的腳步不能也不該緩下。金管會在2021年發布「上市上櫃公司資通安全管控指引」,提供上市櫃企業強化資安策略的道標,其中持續精進、落實執行將是加固防線的關鍵點。
駭客也是可敬對手 強化資安韌性為核心策略
近年來台灣頻繁遭受勒索軟體攻擊,如同後宮「選妃」一般,一旦商業價值足以吸引虎視眈眈的駭客,包含台積電、技嘉、台達電等大型企業,或中小企業在內,都有可能成為被「翻牌」的目標。可惜的是,多數企業平時專注於核心業務,對於威脅情資掌握度較弱,也常常忽略導入新興科技的安全性。
勤業眾信陳威棋副總引述先前曾發起的調查,超過九成的受訪組織至少回報過一次的網路事件或資安違規,故企業在預防威脅之餘,更應假設此時此刻正遭受攻擊,以便及時掌握已衍生的風險與攻擊旅程,保有隨時應變的資安韌性。(延伸閱讀:網路攻擊的七種方法)
圖說:勤業眾信陳威棋副總分享協助企業對抗資安威脅的實戰經驗,提高資安韌性是迎戰駭客的一大方略。
依據勤業眾信調查,已有70%的受訪組織將資安議題納入董事會的議程中,期望獲得董事會的支持以及從上而下的力量,進而推動資安、落實資安,而企業管理階層的關注焦點往往落在營運中斷所造成的損失。陳威棋副總認為「資通安全管控指引」做為基礎標準的資安框架,可以算是一個小型的ISO27001,由「資訊公開」、「公司治理」、「監理協助」三大面向著手強化企業資安,避免「關門做資安」造就與現實脫軌的窘況。
完善的資通安全管理可在駭客的突破時間(Breakout Time)內承受營運衝擊,並運用有限的黃金搶救時間完成修補、復原等應變程序,若公司資源有限,僅能做到最低限度的防護措施,也建議參考「網路安全衛生機制(Cyber Hygiene)」,集中防護力量的同時也符合零信任架構的基礎概念。然而,不論是最低限度或完善的資通安全管理,為了回應資安需求與期待,起手的重點都在於資產盤點與風險評估,畢竟及早掌握風險輪廓,並可持續評估、測試,才能有效提高資安韌性、強化資安策略。
起手規劃不煩憂 資產盤點及風險評估強化資安策略
羅列幾百條資安政策、目標,或導入幾百萬、幾千萬的資安設備,就算得上優秀的資安嗎?資訊設備或系統建置時導入了防火牆、防毒軟體等基本防護措施,但若只是拉起防線而未能有效善用,資安機制恐為虛設。鼎新電腦林崇裕顧問表示強化資安策略最重要的一點,便是公司落實資安政策的方向與目標明確、合乎時宜,方能抵禦變化萬千的攻擊招數。
圖說:鼎新電腦林崇裕顧問向與會貴賓談及如何開始制定資安政策,並以定期資產盤點、風險評估持續精進執行策略。
為了持續精進資安策略,定期執行風險評估並非完成例行作業而已,林崇裕顧問提到考量資安核心三要素「CIA」--機密性、完整性、可用性,以及因應現今法規的適法性,當核心業務與資通系統,或相關法規發生重大變動時,需針對有關項目執行風險評估,也建議採用市面上的資安風險評估平台協助完成評估作業,以最高效率規避企業將面臨的資安風險。(延伸閱讀:算無遺算?用定期稽核與風險評估持續精進資安策略)
林崇裕顧問也為現場的與會嘉賓解答了影響層面重大的火災事件,在進行事前風險評估時務必從控制面向做為出發點,確立備份、備援等機制完善,比如說以最快的速度在雲端或異地機房重啟服務,利於將核心業務的營運衝擊降到最低。另外也要留意企業面臨的資安風險包含人、事、時、地、物,林崇裕顧問就舉例導入多因子認證時,因作業程序的改變必定造成員工反彈,但管理者要維持資安的底線,完善特權帳號管理,以免遭受駭客濫用,也需定期辦理社交工程演練,檢驗員工是否具備基本的資安認知。(延伸閱讀:淺談社交攻擊演練,提升企業資安意識)
2023年是各領域科技發光發熱的一年,飛躍發展的產能與技術逐漸到位,興許將迎來嶄新、更加可期的未來。當踏入本年度最後一季,為面對攻勢不曾消弭的資安威脅,各大企業或可回頭審視運營狀況及資安策略是否需精進改善,避免造成莫大損失及社會恐慌。
資安不單單是時刻修補漏洞的工作,還要依照當下的時空背景改善流程、強化策略,透過本次「上市櫃企業資安策略擬定與執行解析」研討會,鼎新電腦和與會嘉賓一同交流學習,協助企業更加確立資通安全的運作方向,並達到「資通安全管控指引」所期望的持續精進之目標。
