歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)
2015 / 08 / 17
編輯部
上一篇
系列文中提及資訊系統與平台走向委外,是其中重要的發展趨勢之一,本篇將繼續探討委外防禦資安常見問題。
盲點與常見挑戰\歷史包袱
目前常見及注意的項目如下 :
1.行動與一般網頁的安全規格應該不同,行動裝置包含常見包含Andorid, iOS, 與App中網頁包以及後端服務,可以參考 OWASP Top 10 Mobile Risks 與
經濟部工業局「行動應用App基本資安規範」
而常見的錯誤是拿網站的安全要求來對應行動App的安全要求。
2.需求建議書
(Request For Proposal,RFP)
規格與工作說明書應該包含對於系統安全的修補義務
3.安全架構檢視範圍應該包含前、中、後端的互動關聯及相依性,其中包含安全檢核元件、單點錯誤等項目。
4.不同時間點的安全把關: 目前常見的把關時間點多半在於系統UAT測試之後,如果是新的系統很有可以因為安全問題而延後上線
5.測試案例中除了功能測試、容量測試之外應該包含 反向測試 或 Abuse Test Case
6. 修補的優先次序: 常見原則是風險高的優先 ,但是有時候 SQL Injection 出現在低風險怎麼處理?該由誰來認定?
優化效率提升、成本合理化、風險處理時程縮短與持續風險管理
面對問題是否要先決條件,實質安全要先知道有問題以及知道如何找問題,一般分為幾類,不知道有問題,以為天下太平者,是最差的一級;知道有問題也無從下手的狀況是其次;知道有問題,也可以積極解決問題;知道有問題,還知道如何發現問題。對於問題歸因的處置,包含預排資源、可能需要調整流程、組織權責,如專責測試單位進行委外驗收的功能function與non-functional testing (abuse use testing)。
委外資安把關時常見問題如下:
1. 需要能夠提供一致、穩定的測試方法及結果。
2.人員的訓練及實作上的經驗累積,但留人不易。
3.要能夠判讀風險的優先修補次序,白箱掃描過多弱點如何在有限資源下修補,將資源投入到優先項目的修補上。
4. 需求不明確之下,如何做資訊安全架構、功能、防禦的設計審查?
因此,要達到優化風險處置的方案,使效率提升、成本合理化,風險處理縮短與持續風險管理的目標下,可以從需求面與外部威脅評分著手,一方面使業務單位與開發單位對於法規及辦法的認知提升,一方面透過外部實測,先驗證弱點,確實發生者先進行修補,透過其他防禦機制先進行偵測及阻擋,例如WAF。在中長期調整架構體質,如共同的安全防禦元件與安全程式準則等。
透過外部資源檢視資訊架構,改善體質
持續提供系統服務,亦要連續風險管理,以落實資安政策及法規遵循,連續風險管理要能即時掌握外部威脅變化、優化資安把關流程,融入資訊系統連續提供交付的DNA之中。以外部角度來看範圍中的架構與流程,比較有機會做到改善不合理的流程及把關方式。
風險處理時程縮短與持續風險管理關鍵任務
1. 外部威脅資訊掌握、精準傳達
技術與平台科技、行動化不斷演進,同時遭遇針對銀行的惡意程式與針對性的APT 攻擊方式,一般資安單位人員無法24x7掌握資安動態,必須仰賴不同資訊來源的威脅情報提供,透過即時呈現風險以及傳達給應該知道的對象,而非廣發不相關人員變成信箱中的垃圾資訊。
發現威脅後可以立即發動盤查,以縮短因應風險處置的時距。要達到這個目標,不能單靠人力與隨機地資訊提供,必須就現有最耗用人力及資源的項目上面做改造,將這些靠人的流程活動,變成體制系統化。包括耗時易錯的人工處理資料及弱點探討,應該有對應的檢核方式及規則,針對特定弱點的狀況可以做到預先判斷處置,準備驗證資料,縮短驗證該弱點項目的風險真實存在或誤判的時間差。
2. 稽核結果可以是發現優點、獎勵優點
將安控有效性衡量指標變成激勵制度,稽核結果可以是發現優點、獎勵優點。
透過這樣的正向循環,使人員工作任務正常化,在人員的能力及能量培養到留住人才,應可在此重任及壓力下輕騎過關。
3. 心態是最大挑戰
正向面對資訊安全評估來找問題、解問題,勿誤以為天下太平或認為不會輪到我們的鴕鳥心態。在心態上應勿恃敵之不來,而透過固定巡邏的社區巡守概念,使資安成為團隊共同的目標及語言,該做的事(Due Care)應該要勤於落實(Due Diligence)。
行動應用App
稽核
委外
最新活動
2024.04.10
【資安學院】4/10 身分識別與存取控制防護實務
2024.04.29
軟協XBSI強強聯手【資安學院】4/29-4/30 ISO/IEC 27001:2022資訊安全管理系統 主導稽核員「轉版」訓練課程 (二日)
看更多活動
大家都在看
提高TLS安全! 微軟將淘汰Windows系統1024位元RSA金鑰
趨勢科技示警LINE輔助認證詐騙手法並建議5大社群隱私防範守則
趨勢科技:台灣需留意Earth Estries駭客組織,鎖定政府機關與科技業
思科完成收購Splunk
Google推出實時網址檢查 升級安全網頁瀏覽功能防範更多釣魚網站
資安人科技網
文章推薦
報告:零日漏洞利用率激增,商業間諜軟體是主要利用者
TheMoon惡意軟體變種肆虐! 超過 6千台ASUS 路由器已被感染
中國國家級駭客組織UNC5174利用ScreenConnect、F5 BIG-IP漏洞鎖定國防及政府單位