觀點

優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)

2015 / 08 / 17
編輯部
優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)
    上一篇系列文中提及資訊系統與平台走向委外,是其中重要的發展趨勢之一,本篇將繼續探討委外防禦資安常見問題。

盲點與常見挑戰\歷史包袱

目前常見及注意的項目如下 :
1.行動與一般網頁的安全規格應該不同,行動裝置包含常見包含Andorid, iOS, 與App中網頁包以及後端服務,可以參考 OWASP Top 10 Mobile Risks 與經濟部工業局「行動應用App基本資安規範」而常見的錯誤是拿網站的安全要求來對應行動App的安全要求。
2.需求建議書(Request For Proposal,RFP)規格與工作說明書應該包含對於系統安全的修補義務
3.安全架構檢視範圍應該包含前、中、後端的互動關聯及相依性,其中包含安全檢核元件、單點錯誤等項目。
4.不同時間點的安全把關: 目前常見的把關時間點多半在於系統UAT測試之後,如果是新的系統很有可以因為安全問題而延後上線
5.測試案例中除了功能測試、容量測試之外應該包含 反向測試 或 Abuse Test Case 
6. 修補的優先次序: 常見原則是風險高的優先 ,但是有時候 SQL Injection 出現在低風險怎麼處理?該由誰來認定?

優化效率提升、成本合理化、風險處理時程縮短與持續風險管理
面對問題是否要先決條件,實質安全要先知道有問題以及知道如何找問題,一般分為幾類,不知道有問題,以為天下太平者,是最差的一級;知道有問題也無從下手的狀況是其次;知道有問題,也可以積極解決問題;知道有問題,還知道如何發現問題。對於問題歸因的處置,包含預排資源、可能需要調整流程、組織權責,如專責測試單位進行委外驗收的功能function與non-functional testing (abuse use testing)。

委外資安把關時常見問題如下: 
1. 需要能夠提供一致、穩定的測試方法及結果。
2.人員的訓練及實作上的經驗累積,但留人不易。
3.要能夠判讀風險的優先修補次序,白箱掃描過多弱點如何在有限資源下修補,將資源投入到優先項目的修補上。 
4. 需求不明確之下,如何做資訊安全架構、功能、防禦的設計審查?
因此,要達到優化風險處置的方案,使效率提升、成本合理化,風險處理縮短與持續風險管理的目標下,可以從需求面與外部威脅評分著手,一方面使業務單位與開發單位對於法規及辦法的認知提升,一方面透過外部實測,先驗證弱點,確實發生者先進行修補,透過其他防禦機制先進行偵測及阻擋,例如WAF。在中長期調整架構體質,如共同的安全防禦元件與安全程式準則等。 

透過外部資源檢視資訊架構,改善體質
持續提供系統服務,亦要連續風險管理,以落實資安政策及法規遵循,連續風險管理要能即時掌握外部威脅變化、優化資安把關流程,融入資訊系統連續提供交付的DNA之中。以外部角度來看範圍中的架構與流程,比較有機會做到改善不合理的流程及把關方式。
風險處理時程縮短與持續風險管理關鍵任務 
1.  外部威脅資訊掌握、精準傳達
技術與平台科技、行動化不斷演進,同時遭遇針對銀行的惡意程式與針對性的APT 攻擊方式,一般資安單位人員無法24x7掌握資安動態,必須仰賴不同資訊來源的威脅情報提供,透過即時呈現風險以及傳達給應該知道的對象,而非廣發不相關人員變成信箱中的垃圾資訊。
發現威脅後可以立即發動盤查,以縮短因應風險處置的時距。要達到這個目標,不能單靠人力與隨機地資訊提供,必須就現有最耗用人力及資源的項目上面做改造,將這些靠人的流程活動,變成體制系統化。包括耗時易錯的人工處理資料及弱點探討,應該有對應的檢核方式及規則,針對特定弱點的狀況可以做到預先判斷處置,準備驗證資料,縮短驗證該弱點項目的風險真實存在或誤判的時間差。

2. 稽核結果可以是發現優點、獎勵優點
將安控有效性衡量指標變成激勵制度,稽核結果可以是發現優點、獎勵優點。
透過這樣的正向循環,使人員工作任務正常化,在人員的能力及能量培養到留住人才,應可在此重任及壓力下輕騎過關。

3. 心態是最大挑戰
正向面對資訊安全評估來找問題、解問題,勿誤以為天下太平或認為不會輪到我們的鴕鳥心態。在心態上應勿恃敵之不來,而透過固定巡邏的社區巡守概念,使資安成為團隊共同的目標及語言,該做的事(Due Care)應該要勤於落實(Due Diligence)。