觀點

共同目的及共識:有更安全的經營環境

2016 / 04 / 06
黃開印(Kevin Huang)
共同目的及共識:有更安全的經營環境

2015年底,正值各家資安專業科技廠商們雨後春筍般的一一發表他們對於2015年資安環境、威脅問題等等的觀點及提醒,對於各企業也增加許多的助益及解惑。由此可見,現在不再是單打獨鬥的資安戰,而是需要技術、合作夥伴與服務團隊共同攜手合作,整合與形塑出Security Eco-System的共識與具體的運作模式。針對雲端上的建置、應用與上下游供應商的互動來說,Eco-System的概念或許可以成為2016年的思考點,筆者提出了三點讓大家參考的方向。

(一) 最基本事 - 養成好習慣

*定期的安全訓練,從不同部門人員所執掌的職位加以強化”安全第一”的守則。
(安全第一雖然有點像口號, 但沒有此意識, 亡羊補牢通常很辛苦, 例如開發人員沒有資安觀念, 很容易產生SQL Injection漏洞)

*落實相關資安政策, 現在很多資安規範稽核已經把細節直接寫在細則裡, 例如PCI DSS規定系統的Log要妥善保存並不能被更改。

*Cyber Hygiene, 大意是養成使用網路的好習慣,例如,清查公司資產, 不要讓不該直接面對Internet的系統有網路接入口就是一個很好的例子。
這三條最基本的事, 相當不容易做到, 基本功最難, 也是每個產業都應該要有的意識, 包含新創公司

(二) 技術面進階

一般而言,雲端服務的廠商遇到資安的挑戰可能是一個企業的數百倍到數千倍, 優良的廠商會特別針對該公司所提供的服務作保證與說明, 例如符合何種資安標準, 如何保護客戶資料, 以及運維後台實際的操作以取得客戶的信任等等。因此企業資訊人員則對於這些優良廠商所提的部分,需要多從其對外公布的訊息、觀察的報告以及針對威脅是否能提出新的建議及做法,來一一檢視及判斷。

在實務上, 我們的確看到很多客戶會因為在預算與安全上做了妥協, 或者是以自身單位為考量角度來執行資安相關的作為,然而有些企業則是將資安單位層級拉高, 非隸屬於IT單位, 的確讓整體的安全水準提升, 也更清楚網路世界的複雜度。因此,當企業對於資安的重視與支持/支援力道,也有可能會對於企業的資安整體建置運作有其不可忽略的影響性。

(三) 整合的策略思維

整合運用的思維是Eco-system的核心概念之一,以市面上超過1,000+多家的資安公司, 要選擇對的技術與產品是非常具有挑戰性的, 所以一貫的策略並可以整合相關的解決方案達到保護關鍵基礎建設是重要,不容忽視。 從終端裝置, 到大數據分析與情報收集, 還有日常維運, 都應該環環相扣的, 舉例來說, 當我們選擇資安各領域都是第一品牌的產品與服務來用, 結果在安全維運中心 (SOC)需要開20個螢幕來分別監控, 這可能就不是大家預期的結果, 會拖慢對危機事件的反應速度。因此對於整合的策略思維,非但要防護面去思考外,應用的便利性及共通性也是需要考量的環節之一。

結論:

邁入新的一年2016,環境在變化、新興產業也陸續展現,許多思維及做法也需要我們適時的去調整及轉換。一般企業有時候會把資安廠商當成純粹的供應商,而非合作夥伴,這樣會大幅降低使用該服務的價值。合作夥伴也並非朋友, 而是大家有共同目的及共識 – 有更安全的經營環境 - 來努力, 更進一步, 我們才有可能做集體聯防 (Collective Security)。資安的威脅認知與威脅的對抗,需要大家共同合力將此現象轉化為合作的力量。

本文作者目前任職於Akamai Technologies 擔任資深顧問。