物聯網、AI、雲端應用愈來愈普及,導致企業的資安破口更多、防護也更困難。根據思科 Cisco 統計,一旦遭受攻擊而受創,過半企業的損失都超過 50 萬美元(1500 萬台幣)。全球最先進的科技公司,都已設置獨立的資安團隊及預警措施,來因應日新月異的網路攻擊。國內法令也要求資產一兆元以上的金控公司必須設置獨立的資訊長,不得兼任。但駭客攻擊對象不分大小,台灣企業管理者是否足夠重視這種「潛在風險」?
這年頭資安人員挑戰多,每分每秒都得面對隨時在變的資安風險
駭客攻擊手法不斷翻新,很大程度與 AI 技術及物聯網普及等發展趨勢有關。例如從最早的釣魚網站,到後來的 DDoS 攻擊,以致於近兩年的 WannaCry 勒索軟體;過去可能須要人工點選才會誘發病毒感染,但如今,駭客是利用系統漏洞進入企業環境,病毒蟄伏並學習,一旦找出企業內部機器對機器的連繫模式,就發動大規模攻擊。
這對企業最大的挑戰是,資安人員必須跟時間賽跑,因為機器對機器的感染速度更快,如何快速找出原因,加以隔離並防範。
另一方面,物聯網普及後,更多終端設備連線,每一個端點都可能是感染源。尤其愈來愈多人使用行動裝置,企業允許員工或外部夥伴透過手持裝置登入系統,更增加了駭客入侵的通道;「你會發現,駭客會在某些裝置與裝置的溝通過程中,自動設定感染方式;企業如果沒有從上到下的全面防護,等於漏洞無所不在。」
面對這些新科技帶來的安全威脅,企業該怎麼出招?思科台灣總經理陳志惟表示,最重要的三大關鍵是化被動為主動、加強人員培訓、並且在架構資訊系統之初,就要考慮資安。
台灣企業檢核資安重要標準:你的軟硬體架構是否好幾年才更新一次?
「每一個企業都自認已做了資安防範,但其實只是單點而已。」陳志惟分析,在快速變遷的新環境下,企業需要的是由上而下、從裡到外的主動架構,而且不止防護,也要將自動化、簡化的方式導入資安系統,並且隨時動態更新。企業的環境是動態、IT 應用也是動態,更重要的是,駭客的攻擊永遠是主動、隨機、無預警、甚至病毒版本週週翻新;「如果你的資安防護是靜態,今年做了三年後才檢討,就會永遠在駭客背後追趕。」
溝通一個關鍵概念:攻擊病毒的威脅性是逐步試錯、累積出來的
思科 Talos 國際威脅情資團隊,提供預警式的防範,24 小時不間斷收集全球病毒攻擊威脅,並監看潛在風險;經常在威脅發展的初期,就送出資訊給客戶,宛如電影《關鍵報告》中的先知感應。
他表示,目前許多高科技公司,已意識到資安的嚴重性,因此在資訊部門之外,獨立成立資安團隊,另外還有預警人員的編制。例如幾家大廠已設立 Threat-Hunt Center 威脅預警中心,專門負責把病毒、駭客及潛在風險揪出來;「這是很先進的作法,已經屬於主動防禦而非被動防範。」
可惜並非所有企業都有像世界大廠的龐大資源和預算,思科的建議是釐清企業資安資源與需求,「我們的方式是先跟企業高層坐下來談,了解資安的規劃和想法;接著與各部門利害關係人逐一訪談,了解資安缺口有哪些,日常運作的需求是什麼,如何在資安與營運兩者間取得平衡。」思科也會派遣顧問及人力在企業內部,除了第一線的駐點人員,後端還有強大的資安中心提供協助。
資安人才全球都缺 ,台灣要培養專才請有花 5 年以上的心理準備
其次是人才培育的問題。思科指出,不止台灣,全球都缺乏資安人才,而且從頭培養是五年以上的功夫,例如思科網路學院 Cisco Networking Academy 就正與國內學界合作,將資安課程深化到大專院校甚至高中職。「相信透過這樣的深化,未來五年企業主找資安人才會更容易,不必再從零培養。」
但在此之前,面對資安人才的缺口,企業必須考慮向外尋求解方,找尋可靠的國際品牌來共同建構符合本身需求的資安架構。
製造業要保護商業機密,首重上下游資訊管理
不同產業的資安防護,陳志惟認為,在架構上大體相同,只是強調的重點有一些差異。以製造業來說,台灣最強的就是 ODM/OEM 代工,而且不限於高科技,傳產的鞋業、機械也很強。代工最重視的是保護客戶資料不外流,例如新產品未上市前,設計圖不可外流、新的應用不能被剽竊、研發中的技術也不能被得知,保護自己也保護客戶,以免失去商機並重挫商譽。
陳志惟說,思科協助不少製造業做了端點(end-point)防護,誰能取得資料、人員的資安等級、資料被哪些人存取等等,也就是製造業非常強調集團內部從上到下的存取權限及保護措施,「絕對不是買了資安產品或服務就好,而要讓資安成為企業體內的全民運動。」
金融業入侵破口多,金融業者如何無痛更新資安成為最大挑戰
金管會去年要求資產在一兆元以上的金控公司,必須設置獨立的資訊長,且不得兼任;而資訊長要做的事,不只是法遵合規,還要預警式防護,避免資安漏動造成客戶財產損失。這是因為,金融業的資料高度敏感,擁有客戶基本資料、資產狀態,還有分行體系、網路銀行及廣佈的 ATM 站點。「這意味著金融業的人侵破口多,如若有人假冒身份,在異地存取,業者第一時間就要偵測並防護。」
陳志惟說,不少金控業者已與思科合作,包括資安環境設定、防護措施、人員培訓、以及從高層到櫃員的完整培訓及作業流程,整套解決方案才能防堵攻擊。若從法令面來看,思科認為,台灣的資安法令在先進國家中已走得很前面,只是後續的執行要更落實、有延續性、且隨時調整。
思科強調,金融業最大的特性是,不止企業環境內的入侵破口多,外部使用者也多,存戶和用戶直接進入網路銀行時,都會發生潛在威脅,因此把這些外部使用者當做內部人來教育,也是很重要的一件事。
過去金融業並不重視資安系統的更新,因為每一次系統停機,都要回報金控總部及主管機關;這其實很矛盾。「銀行只要有一塊錢的帳對不上,大家就不能下班,但很多時候卻因為一點點系統停機的不便,而忽略了小型的資安威脅,讓它無形中坐大。」陳志惟說,思科 Talos 在病毒還小的時候,就會先預警告訴客戶,讓客戶及早作出應對準備。
根據調查,8 成台灣企業對運用物聯網展現高度興趣,但是不知如何做物聯網資安防範!思科台灣總經理陳志惟總結年度重要趨勢:物聯網、AI、勒索病毒防範概念一次建立
Posted by TechOrange 科技報橘 on Friday, 10 August 2018
停機「歲修」是為了更好的明天
「身為資安人,每次看到銀行公告週末或午夜系統停機三小時,我覺得很開心,這代表這家企業重視存戶,把客戶資產看得很緊。」陳志惟說,反觀有些金融業,抱著「別人發生的事沒有發生在我身上」的僥倖心態,忽略了防範,後果往往十分危險。這是因為資安軟體的版本若累積數代沒有更新,就要花更多時間來停機補強,因此思科很鼓勵金融業效法製造業的「歲修」,定期停機來更新資安版本,雖對存戶造成些許不便,但為了更好的明天值得投入。
持續動態式檢討,是最好的資安防護
思科表示,每個企業對資安要投入多少資源,想法和條件都不一樣,但必須建立的觀念是,「持續動態式的檢討並改進,才是最好的資安防護。」陳志惟說,資安軟硬體並非第一年建構完成就算數,每一年還要針對硬體維護、軟體更新、人員訓練等持續檢討並投入資源。「資安防護沒有最好,只有更好;因為駭客不會跟你簽約,今天攻擊你,明天就放過你。」當駭客不斷演進時,企業也要與時俱進。
(本文開放合作夥伴轉載。)
延伸閱讀
2018 年思科網路安全報告:防毒「窮補漏洞」才是資安危機
踏入資安界懶人包!從重要關鍵字到在地社群,刷過一輪才能跨過入門磚