去年年底金管会发布资通安全管理政策,将全台湾上市柜公司划分成一、二、三级,规范企业需设置资安长、资安专责单位及资安人员。对於有充足资源、权责分工明确的第一级上市柜公司来说,可逐步完成合规建置的要求,而对於资源有限的近 1,500家二、三级上市柜公司而言,随着法规所订的时程迫近,如何将资安管控与防护机制导入公司治理变得益发重要。
科技报橘与台湾微软联合举办《企业资安年度检验攻略》线上 Webinar,携手众多资安专家共同分享第一级企业的实战经验,以及点出企业布建合规资安的重点要件,如何真正落实於营运核心当中,再为产业提供全方位的资安合规平台与指南。
厘清资安长定位为首要任务,接着才是资安团队的完善规划!
安永谘询服务股份有限公司资深经理白镇玮认为,无论企业是否有合规需求,在设置资安长与相关单位之前,首先要清楚资安长一角的定位,是协助公司拓展业务?还是单纯管控内部的 IT 使用行为、降低资料外泄风险?显然,前者才能让资安长创造更大的价值。
原因在於,目前有些国家或特殊产业已经将资安规范列为标准配备,如果企业的产品或服务没有符合资安标准,就不能进入该国销售。回头来看台湾,除了金管会规范外,还有很多资安相关的政策,如:企业若近年有投资资安产品/服务,即可以扣抵营业税。
由此可知,资安长的责任就是,制定与产品/服务相应的安全政策,协助公司降低成本,或把产品带到全世界。「尤其现今许多企业都在推动数位转型,更应该让资安长从转型初期就参与,避免导入新的科技应用所带来的新风险及确保合法合规」,微软资安专家技术部副总周彦儒同样强调资安之於企业的重要性。
举例来说,在金管会的规范当中,第二级公司大多为科技制造或工业制造相关的产业,而制造业在转型智慧制造过程中,工厂很多机器设备都逐步开始连网,产生新的资安威胁,制造业若没有事先做好防御规划,就像为骇客开了一道方便大门,让骇客可以藉着 OT 资安破口进入内网。
若要避免 OT 安全成为资安破口,制造业在做转型规划时,就要有监测 OT 网路的机制,如:微软 Defender for IoT 可以在场域蒐集相关 log,监测网路流量是否为恶意流量,同时要将 IT 与 OT 情资整合在同一个平台,如:透过 Microsoft Sentinel 云原生 SIEM 解决方案𢑥整 OT 情资,了解骇客从哪些点进来、如何进来及攻击手法,才能做好全面的防御规划。
而在厘清资安长的定位後,就可以编制资安专责单位。DEVCORE 戴夫寇尔执行长翁浩正认为,将资安事件分成事前、事中及事後,将这三个各自需要的资安防御工作罗列出来,就知道该朝哪一个面向培育人才。
值得注意的是,企业不只要培育内部资安人才,更要定期针对全体员工进行资安教育训练,建立员工的资安意识,不会轻易被钓鱼邮件所骗,也不会轻易开启恶意连结或下载档案,才能加固企业的资安防御网。
当企业有了资安长、资安专责人员,并建立员工正确的资安认知後,在技术端就可以委外给专业资安团队来负责,毕竟资安攻击手法不断翻新,但企业的资源却有限,资安长的任务不是组建最完整的团队,而是要以简驭繁,适时引入符合企业现况所需的资安协力团队,一起打造坚固的资安防御网。
而在《企业资安年度检验攻略》论坛上,亦邀请三个资安领域专家,分别「资安规划」、「资安监控」及「零信任」三个面向做深度讨论,协助企业从不同面向进行资安健检。
NIST 网路安全架构,逐步加固资安防御网
登丰数位科技总经理黄建笙建议,企业应参照美国 NIST 发布的网路安全架构 Cyber Security Framework, 从 Cyber Security Framework 分 Identify、Protect、Detect、Respond 及 Recover 五个面向来规划。
首先透过 Identify 进行弱点修复、风险管理及策略拟定,再藉由 Protect 针对已知威胁进行防护,且防护作为不会影响服务运作,并且要时时 Detect 侦测未知的恶意行为。
倘若不幸发生资安事件,则要透过 Respond 动用组织所有资源,针对攻击做出防御,这也是现今经常在谈的企业韧性,如何快速回应攻击并将被破坏的地方修补好,让组织运作恢复正常。最後 Recover 是将受损害的服务,将服务回复至 SLA 相同的基准。
「这五大面向各自需要不同的资安解决方案,而微软提供 Microsoft EDR、Microsoft Defender、Sentinel、Azure 资讯保护……等多元解决方案,可以充份满足企业在这五个面向的需求。」黄建笙强调。
透过情资搜集与分析,即时将骇客挡在门外
在根据 NIST 准则规划资安防御网时,宏碁云架构产品总监郭孟钧认为,绝对不能少了 SIEM 与 SOC 资安监控服务。
SIEM 是搜集数据的资安基础平台,企业可以透过 SIEM 大量蒐集情资,再结合 AI 分析找出潜在攻击,例如宏碁云就曾经帮某制造业客户进行资安规划,以 Microsoft Sentinel 作为云端 SOC 的底层 SIEM 平台,搜集 Azure AD、Azure Firewall、Azure VM、Azure WAF、IaaS Server、第三方 Palo Alto 资安设备、其他平台等不同系统和服务的 Log,以确保云端安全。
倘若企业资安人力不足,则可使用由 SIEM 向上发展出的 SOC 资安监控服务,运用外部专业服务 7X24 小时不间断地侦测资安威胁,并即时预警,将资安风险降到最低。
如:宏碁云便与台湾微软合作推出台湾第一家 Cloud SOC TDRS 服务,采用云端原生保护工具/Services/Connetcors/API,将散落在各地的 Log 蒐集在单一平台,由宏碁云 Cloud-SOC 监控中心进行自动化处理、分析及 7X24 小时监控,即时将骇客挡在门外。
以零信任思维落实身份验证,挡掉 98% 资安攻击
伊云谷云端解决方案架构师曾仪婷则提出零信任的重要性。因应混合办公趋势,企业应以零信任原则重新架构身份验证机制,周彦儒亦引述微软调查指出,98% 的资安攻击和身份验证与存取控制有关,企业只要做好身份验证,就可挡掉 98% 的资安攻击。
要做到零信任有二大关键,第一个是以强身份验证机制,验证存取者是否为本人,并以最小权限为原则,配予相应的权限,而微软云端式身分识别与存取管理(Azure Active Directory;AAD)、微软多重身份验证 MFA,都是可以落实强身份验证机制的解决方案。
第二个关键是,以风险为根据的条件式存取,亦即根据设备、ID、人员、身份识别方式……等条件,设定在不同状况下的存取范围。举例来说,IP 位址要在台湾、设备要上最新的 Patch 才能登入公司系统。
刻不容缓的资安建置要求!如何找到正面助益、加乘营运效益?
企业构建资安管理的重要性现已广为人知,更多样化的攻击风险代表企业在思考资安议题时,再也无法单纯从技术产品面评估,防御范围也不单只是 IT 部门的责任,若不即刻部署资安,很可能会直接扩大到企业营运面。
且又加上金管会资安准则时限接近,企业不只是引进资安长和资安团队,还要把握「以简驭繁」的原则,在法遵合规基础上,委托专业资安厂商协助制定资安营运相关策略,将有限资源做最佳化分配,才能提高企业营运效率,且更有效地强化企业资安韧性。
>>Microsoft Security 免费试用
>>立即下载微软【企业的法遵挑战与行动指南】白皮书,详解法规精华内容与对应解方
