在今年(2015)資安展的專題座談中,BSI台灣分公司總經理蒲樹盛與遠東集團鼎鼎行銷資深協理梁家榮一起針對,「在有限資源下如何做資安」的實務問題進行經驗分享。
將資安服務應用在核心業務
蒲樹盛以「有限資源下的資安服務接軌」為題,開宗明義指出資安人員必須把資安服務應用在核心業務裡,才能爭取到企業投入資源,否則就是成為成本項目,例如防火牆、各種資安設備都是成本,只要是成本企業就想當然爾去cost down。
至於資安服務如何與業務產生關聯,蒲樹盛指出風險決定組織需求,他進一步以世界經濟論壇全球風險報告的風險指標說明,全球風險可分為五大類,分別是經濟、環境、地緣政治、社會與科技風險。在2013年以經濟風險最高,2014年則是地球暖化的環境風險,到了2015年科技風險大幅上升。科技風險包括網路攻擊、APT,其次資料詐騙與竊取,第三是關鍵基礎設備中斷,第四是科技的誤用。其中前三項與針對電信、銀行業對資安威脅的統計調查結果不謀而合,因此企業資源就應該放在這三項目當中。
因此可從風險的角度以及相關標準來思考執行方向,尤其是環境風險、經濟風險以及關鍵設施保護的風險。在環境風險中,如何用資安把與環境相關的標準整合起來。在經濟風險方面,思考如何提高服務效率以創造更高產值。在基礎設施的部分,則可從網路攻擊與資料保護方面,思考如何改善客戶生活。藉此讓企業的資安服務可以找到「商機」。
在具體方面,首先組織需先建立文化,並且要有風險管理流程,尤其是關鍵風險。思考上述三個風險與業務之間的關聯為何,企業資源就應該放在那裡,並據以訂出量測指標,後續用以衡量。再者,高階主管需展現承諾,以具體的行動支持。以全球知名電信公司Vodafone為例,他們藉由制定清楚的資安與隱私原則來建立組織文化,資安原則就是C.I.A.,所有員工都必須知道自己哪些業務有機密性、哪些業務絕對不能錯、哪些業務不能有中斷。"Privacy by design"在作業流程設計階段就考量隱私保護。成立風險管理委員會由高階主管參與,有侵犯客戶隱私的問題都送到委員會討論。
釐清核心問題就能找到關鍵技術
梁家榮資深協理以遠東集團鼎鼎行銷Happy Go的實際經驗,分享「有限資源下,資安技術如何面對無限挑戰」。當APT、資料外洩等各種資安威脅接連而來,相關解決方案一籮筐,但企業資源有限時,梁家榮的決策哲學是:「先找到要解決的核心問題,就能找到關鍵技術。」
他舉現今員工攜帶自己設備上班BYOD的問題為例,當時在評估解決方案時發現,即使投資導入移動設備管理(MDM)方案,也無法保證資料就不外洩,整個佈署下來需要2~3個工具才能解決,且所費不貲。但進一步思考他們的核心需求與問題是,資料讓有device的人看,且不會被洩漏。因此就發現一種以快照原理的雲端桌面工具,它能讓資料不落地且有權限的人可以看得到。再搭配前述MDM來管理此項工具的佈署,就以合理的預算導入解決方案。
另一個例子則是面對棘手的APT問題,相關產品、服務也是五花八門。梁家榮一直思考能不能只做一件事就解決大部分問題。進一步釐清APT的攻擊點可分為基礎架構與應用系統兩個面向,應用系統方面一定是流程或軟體有弱點才導致入侵,解決完這些問題剩下就只有社交工程問題。要解決應用系統弱點,他們決定要進行原始碼檢測,而且是所有特約商(的系統)若要進到主機系統來,一定要進行源碼檢測,並修補完所有弱點後才能上線。此後再透過黑箱滲透測試、灰箱測試都沒有再找到新弱點。
任何防禦都難做到百分百,駭客一定會在某個時間點就能進來。因此鼎鼎行銷的防禦策略是即使進來也進不到(核心),即使拿走也拿不走。他們的第二步是將IDC控制放到雲端,完全透過終端存取,並將所有接觸點PKI化,一定要經過強認證而非密碼輸入,這樣駭客就無法在遠端代表你行動了。包括上述提到的雲端桌面工具也是請廠商客製化PKI版本配合導入。
再談到供應鏈管理的問題,即使現在個資法已有規範,但很難要求所有委外廠商都按照公司的資安標準來作業,因此務實的辦法就是把個資都集中在公司內部,並用最多的資源來保護。供應鏈廠商的資料需做必要的資料轉換,讓它即使外流也是已去識別化、資料是沒意義的,所有資料只有公司內部才看得懂。
.JPG)
2015年亞太資訊安全論壇專題講座(一)
2015年亞太資訊安全論壇的第一場議題則從BSI及鼎鼎行銷的實務分享開始敲起第一道鐘聲 : 有限資源下如何做資安。這也是目前台灣企業資安的現況,資安預算的分配愈來愈細,可以達成確實全面完成資安防護是個挑戰。但是就如同兩位來賓說分享的,找到核心業務,讓資安服務應用於核心業務與在有限資源下與服務接軌以及先找到要解決的問題核心,就能找到關鍵技術同時可以比較精準的在有限的資源下進行解決與防護。
第二篇 : 資安展-專題座談 在有限資源下如何做資安-政府單位經驗與透過稽核來協助
第三篇 : 資安展-專題座談 重大資安事件剖析及啟示