新科技、新漏洞不是資安無止境的投資

新科技不斷推出，原有防護出現漏洞，對企業資安環境不啻是一大衝擊。而企業主面臨這些新漏洞，心裡難免納悶，這會不會是無止境的投資？

　　每當有資訊3C新品上市發表，一般消費者爭相比較有哪些新功能，但資安人員心裡所想的可能與一般人不同。

掌握80/20法則 管理新科技與威脅

　　IT技術與應用推陳出新速度快的驚人，才在德國CeBIT展看到產品設計的雛型與概念，在台北Computex就看得到樣品，接著美國拉斯維加斯展就看到開始量產了。這對喜歡求新求變的玩家級使用者而言是一大樂事，然而對企業資安工作者來說，新的IT應用往往代表著新的資訊安全漏洞，過去所佈署的資料外洩防水牆，可能因為一個還來不及更新的漏洞，導致防護瓦解。例如，最近電信業者在電視廣告強打3G/3.5G行動網卡搭配吃到飽費率方案，似乎是個非常便利的新應用，但這項技術卻徹底粉碎所有企業現有的資安防護機制，例如，防火牆、防毒系統、郵件過濾、網站過濾等等，看在資安人員眼中，想必冷汗直流。

　　隨著3G手機的普及，加上第2代iPhone來勢洶洶，這些設備與筆記型電腦做紅外線傳輸十分容易，而插上3G/3.5G網卡之後的筆電更是後患無窮。同樣的問題，當USB隨身碟、行動硬碟容量越來越大，企業儘管訂定禁止訪客、員工攜帶可攜式媒體的資訊安全政策，卻難免擔心是否會有漏網之魚。而那些潛伏在桌子底下私架的無線網路基地台更是安全上的一大隱憂，員工可能為了一己之便，卻讓外面有心人士順便連結上企業內部網路。

　　面對這些新興的資安威脅，許多資安人員為了確實防止資料外洩，容易以技術導向來思考，希望尋找能全面封鎖、控管的解決方案，以杜絕任何資料外洩的管道。然而一旦決定全部都管，後續建置需要的IT預算與人力需求肯定所費不貲。當資安人員向上級提報規劃書，管理階層看到驚為天人的數字後，又得到資安防護未必能夠百分百的答覆，加上層層的防護又可能降低營運上的效率，乾脆表明：「既然做了也無法一勞永逸乾脆什麼都不要做了！」之類的消極態度。

　　這樣的情景想必常常上演，資安工作者面對各種新興科技所帶來的挑戰，其實先別急著找尋全面防堵的解決方案，應回歸到基本面來看，並且以風險為導向的觀點來審視現有的作業環境，找出企業內部的關鍵資訊資產以及關鍵風險，並針對這些關鍵部位再來研擬相關控制，掌握80/20法則，相信不但可以花費相對少的資源來執行資安控管，更能掌握風險相對高的部位，也是個合理且容易說服管理階層的做法。

　　而較合理的控制設計方面則可規劃將高風險的部分以及中低風險的部分作區隔，舉例來說，把研發人員與行政人員個別集中在不同的實體空間內，並針對這2個實體空間設置不同層級的管制，對於研發人員所使用的辦公環境可以進行高度控管，包含3G/3.5G網卡、可攜式儲存媒體、禁帶照相手機、甚至可要求更換工作服來過濾可能攜入的相關危安物品等，諸如此類存在資安風險的議題，都可以採取
較嚴格的控管，而針對一般行政人員，也許相對的資安風險較低，因此可以採取低度的控管。而這些設計與規劃，除了可以有效掌握高風險族群，對於資安所投入的成本也會相對降低許多，同時也不會因為過多的管控而影響到企業營運的效率。

導入IT新應用 同時兼顧資安防護需求

　　企業的資安政策不是訂定完成後就可束之高閣，而需要一段時間定期檢視，尤其像是新興IT設備的衍生與使用。除了資安政策需彈性調整之外，資安工作者面臨IT產業不斷推出的各種新議題時，更需站在風險控管的角度提出建議，讓高階主管了解到與其全都管，不如挑重點來管，除了更有效率之外也會有更好的效果，所
以在評估新應用的同時，更應該考量到基礎架構的資安防護重點在哪，而非等新系統、新架構佈署完成，再花費更多的資源防堵資安威脅，例如以節能為號召的資料中心虛擬化議題，或越來越盛行的軟體即服務(SaaS, Software as a Service)的IT應用新模式。資安工作不只是威脅來臨才採取被動防守，更應該具備宏觀的思維與敏銳的，利用有限的資源創造更高的企業競爭力。