在今年(2015)資安展的專題座談中,第二場則是邀請行政院資安辦及勤業眾信透由政府的經驗與稽核的要點來分享,面對目前的環境政策下,如何讓自己企業持續性的改善及維持正循環的營運。
政府單位向來是針對式攻擊的首要目標,在攻擊遽增但預算不變甚至縮減的情形下,行政院資安辦公室副主任吳啟文談到該如何極大化有限預算,以及目前政府資安的推動政策。而勤業眾信台灣區總經理萬幼筠則從長期稽核中觀察常見的疏忽。
政府加強委外管理、資安治理、推動資安專法
吳啟文以近期資安威脅談起,近期威脅仍以APT最多,民間部分則是網際網路業者的個資外洩問題嚴重。現今主管機關已開始有具體行動,當刑事局通報3次問題仍未改善,經濟部商業司就會進行行政檢查,資安辦會同參與。而政府單位目前出現的問題是資訊/資安委外廠商遭入侵導致政府機構受影響,例如有廠商軟體版本更新機制遭破解,使惡意程式藉此擴散出去,影響層面甚大,尤其是共用系統。以及分散式阻斷服務攻擊(DDoS)也很頻繁,不僅攻擊流量都大到300G~400G規模,就連CDN(Content Delivery Network)內容傳遞服務廠商也被打掛,加上台灣內部很多殭屍網路,所以還有內對內的攻擊也是另一個問題所在。
在上述外在威脅下,政府單位又面臨人力、經費不足的挑戰,因為人力不足所以政府單位大多採取委外服務,以軟體委外開發來說,卻發生過軟體開發商遭入侵導致程式碼外洩的事件,其中測試資料還含有真實個資!吳啟文呼籲要重視SSDLC(軟體安全開發生命週期),在一開始開發就融入安全,並配合源碼檢測與最後滲透測試。第二,則是要強化資訊/資安委外管理,政府資訊人員不需親自操刀但需要有提需求、會驗收的專業技術能力。在預算的部分,資安辦規劃將來政府單位提計畫時,必須加入「資安專章(節)」,藉此把資安預算獨立出來。
在政府資安政策推動方面,過去是要求通過ISMS(資訊安全管理制度),目前A、B級單位已有80%通過認證,但許多單位不是認證範圍過小就是通過後卻沒有落實,因此希望ISMS能納入例行工作,將推動資安治理。在威脅防禦上,則採取機關一線、GSN二線防禦縱深的方式,此外目前也已要求A級機關加強防禦深度,APT防禦機制以及網頁應用防火牆(WAF)都已成為必要控制措施。同時透過獎勵資安事件的通報來鼓勵資訊分享,而GISAC(政府資安資訊分享與分析中心)也與其他ISAC(資安資訊分享與分析中心)進行交流聯防,並透過演練提升應變速度。以及建立產、學共同區域聯防機制。
最後,吳啟文談到資安除了技術、管理之外,也需要法治。因此資安辦預計在5月底能提出資安管理專法草案,其中將針對資安經費比例與做法有所規定,此外也適用對象也不限於政府機關,希望能透過各主管機關要求轄下業者對資安防護達到一定水準。
2015年亞太資訊安全論壇專題講座(二)
資安稽核重點在於持續改善、落實以及訂出權責
稽核與資安息息相關,萬幼筠以過去的稽核經驗實例,提醒企業稽核時應注意事項。
第一、了解稽核目標與導向。稽核應是風險導向,企業決定風險可否接受。
然而許多時候稽核會找錯重點,例如發現「帳號申請書沒簽名」,此一問題背後應是去盤點是否有帳號共用問題,或者有惡意使用的問題。另一例子是查核時發現某企業有程式碼版本控管問題,此時懷疑可能會有XSS(跨站指令碼攻擊)的弱點,受檢人員回答有使用弱點掃描程式。但重點是是否定期使用,且所找到的弱點是否有修改。萬幼筠提醒,進行稽核並不是只要會使用查核程式,查核程式需經過客製化使用才有效果,可參考技服中心網站提供的查核程式架構予以調整。
第二、了解使用稽核工具背後意義。
稽核工具可說是一刀兩面,以弱點掃描為例,若掃描的是正式機環境(例如使用黑箱滲透測試),可能會破壞線上正常運作,但掃描測試環境,其設定可能又與正式機不同。最好的方式是有雙機運作,一台機器跑一定時間就停機交換,確保兩邊設定一致,掃描時就可找任一台來做。
第三、資安稽核不等於資安治理。
資安管理系統稽核是查有無控制措施、有無管理機制,而治理談的是要設定KPI(關鍵績效指標),並定期檢視與改善。
第四、例行性稽核與自我稽核。
萬幼筠認為自我評估、自我稽核最重要,以高科技公司為例,許多營業秘密外洩都是在進行自我稽核時發現,而一般上市櫃公司的稽核與資安稽核又不同,唯有資安稽核才能深入系統層次查核。此外,若進行專案稽核,稽核後必須確實通報,並將結果改善落實,否則將淪為出事、稽核、沒通報、沒落實、再出事等惡性循環。
第一篇 : 資安展-專題座談 有限資源下如何做資安-BSI從風險角度與鼎鼎行銷的實務分享
第三篇: 資安展-專題座談 資安重大事件剖析及啟示