優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)

2015 / 08 / 17

編輯部

上一篇系列文中提及資訊系統與平台走向委外，是其中重要的發展趨勢之一，本篇將繼續探討委外防禦資安常見問題。

盲點與常見挑戰\歷史包袱

目前常見及注意的項目如下 :
1.行動與一般網頁的安全規格應該不同，行動裝置包含常見包含Andorid, iOS, 與App中網頁包以及後端服務，可以參考 OWASP Top 10 Mobile Risks 與經濟部工業局「行動應用App基本資安規範」而常見的錯誤是拿網站的安全要求來對應行動App的安全要求。
2.需求建議書（Request For Proposal，RFP）規格與工作說明書應該包含對於系統安全的修補義務
3.安全架構檢視範圍應該包含前、中、後端的互動關聯及相依性，其中包含安全檢核元件、單點錯誤等項目。
4.不同時間點的安全把關: 目前常見的把關時間點多半在於系統UAT測試之後，如果是新的系統很有可以因為安全問題而延後上線
5.測試案例中除了功能測試、容量測試之外應該包含反向測試或 Abuse Test Case
6. 修補的優先次序: 常見原則是風險高的優先，但是有時候 SQL Injection 出現在低風險怎麼處理?該由誰來認定?

優化效率提升、成本合理化、風險處理時程縮短與持續風險管理
面對問題是否要先決條件，實質安全要先知道有問題以及知道如何找問題，一般分為幾類，不知道有問題，以為天下太平者，是最差的一級；知道有問題也無從下手的狀況是其次；知道有問題，也可以積極解決問題；知道有問題，還知道如何發現問題。對於問題歸因的處置，包含預排資源、可能需要調整流程、組織權責，如專責測試單位進行委外驗收的功能function與non-functional testing (abuse use testing)。

委外資安把關時常見問題如下:
1. 需要能夠提供一致、穩定的測試方法及結果。
2.人員的訓練及實作上的經驗累積，但留人不易。
3.要能夠判讀風險的優先修補次序，白箱掃描過多弱點如何在有限資源下修補，將資源投入到優先項目的修補上。
4. 需求不明確之下，如何做資訊安全架構、功能、防禦的設計審查?
因此，要達到優化風險處置的方案，使效率提升、成本合理化，風險處理縮短與持續風險管理的目標下，可以從需求面與外部威脅評分著手，一方面使業務單位與開發單位對於法規及辦法的認知提升，一方面透過外部實測，先驗證弱點，確實發生者先進行修補，透過其他防禦機制先進行偵測及阻擋，例如WAF。在中長期調整架構體質，如共同的安全防禦元件與安全程式準則等。

透過外部資源檢視資訊架構，改善體質
持續提供系統服務，亦要連續風險管理，以落實資安政策及法規遵循，連續風險管理要能即時掌握外部威脅變化、優化資安把關流程，融入資訊系統連續提供交付的DNA之中。以外部角度來看範圍中的架構與流程，比較有機會做到改善不合理的流程及把關方式。
風險處理時程縮短與持續風險管理關鍵任務
1. 外部威脅資訊掌握、精準傳達
技術與平台科技、行動化不斷演進，同時遭遇針對銀行的惡意程式與針對性的APT 攻擊方式，一般資安單位人員無法24x7掌握資安動態，必須仰賴不同資訊來源的威脅情報提供，透過即時呈現風險以及傳達給應該知道的對象，而非廣發不相關人員變成信箱中的垃圾資訊。
發現威脅後可以立即發動盤查，以縮短因應風險處置的時距。要達到這個目標，不能單靠人力與隨機地資訊提供，必須就現有最耗用人力及資源的項目上面做改造，將這些靠人的流程活動，變成體制系統化。包括耗時易錯的人工處理資料及弱點探討，應該有對應的檢核方式及規則，針對特定弱點的狀況可以做到預先判斷處置，準備驗證資料，縮短驗證該弱點項目的風險真實存在或誤判的時間差。

2. 稽核結果可以是發現優點、獎勵優點
將安控有效性衡量指標變成激勵制度，稽核結果可以是發現優點、獎勵優點。
透過這樣的正向循環，使人員工作任務正常化，在人員的能力及能量培養到留住人才，應可在此重任及壓力下輕騎過關。

3. 心態是最大挑戰
正向面對資訊安全評估來找問題、解問題，勿誤以為天下太平或認為不會輪到我們的鴕鳥心態。在心態上應勿恃敵之不來，而透過固定巡邏的社區巡守概念，使資安成為團隊共同的目標及語言，該做的事(Due Care)應該要勤於落實(Due Diligence)。

行動應用App 稽核委外