歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
優化金融資訊服務與資安成本權衡, 委外資安如何把關 ? (下篇)
2015 / 08 / 17
編輯部
上一篇
系列文中提及資訊系統與平台走向委外,是其中重要的發展趨勢之一,本篇將繼續探討委外防禦資安常見問題。
盲點與常見挑戰\歷史包袱
目前常見及注意的項目如下 :
1.行動與一般網頁的安全規格應該不同,行動裝置包含常見包含Andorid, iOS, 與App中網頁包以及後端服務,可以參考 OWASP Top 10 Mobile Risks 與
經濟部工業局「行動應用App基本資安規範」
而常見的錯誤是拿網站的安全要求來對應行動App的安全要求。
2.需求建議書
(Request For Proposal,RFP)
規格與工作說明書應該包含對於系統安全的修補義務
3.安全架構檢視範圍應該包含前、中、後端的互動關聯及相依性,其中包含安全檢核元件、單點錯誤等項目。
4.不同時間點的安全把關: 目前常見的把關時間點多半在於系統UAT測試之後,如果是新的系統很有可以因為安全問題而延後上線
5.測試案例中除了功能測試、容量測試之外應該包含 反向測試 或 Abuse Test Case
6. 修補的優先次序: 常見原則是風險高的優先 ,但是有時候 SQL Injection 出現在低風險怎麼處理?該由誰來認定?
優化效率提升、成本合理化、風險處理時程縮短與持續風險管理
面對問題是否要先決條件,實質安全要先知道有問題以及知道如何找問題,一般分為幾類,不知道有問題,以為天下太平者,是最差的一級;知道有問題也無從下手的狀況是其次;知道有問題,也可以積極解決問題;知道有問題,還知道如何發現問題。對於問題歸因的處置,包含預排資源、可能需要調整流程、組織權責,如專責測試單位進行委外驗收的功能function與non-functional testing (abuse use testing)。
委外資安把關時常見問題如下:
1. 需要能夠提供一致、穩定的測試方法及結果。
2.人員的訓練及實作上的經驗累積,但留人不易。
3.要能夠判讀風險的優先修補次序,白箱掃描過多弱點如何在有限資源下修補,將資源投入到優先項目的修補上。
4. 需求不明確之下,如何做資訊安全架構、功能、防禦的設計審查?
因此,要達到優化風險處置的方案,使效率提升、成本合理化,風險處理縮短與持續風險管理的目標下,可以從需求面與外部威脅評分著手,一方面使業務單位與開發單位對於法規及辦法的認知提升,一方面透過外部實測,先驗證弱點,確實發生者先進行修補,透過其他防禦機制先進行偵測及阻擋,例如WAF。在中長期調整架構體質,如共同的安全防禦元件與安全程式準則等。
透過外部資源檢視資訊架構,改善體質
持續提供系統服務,亦要連續風險管理,以落實資安政策及法規遵循,連續風險管理要能即時掌握外部威脅變化、優化資安把關流程,融入資訊系統連續提供交付的DNA之中。以外部角度來看範圍中的架構與流程,比較有機會做到改善不合理的流程及把關方式。
風險處理時程縮短與持續風險管理關鍵任務
1. 外部威脅資訊掌握、精準傳達
技術與平台科技、行動化不斷演進,同時遭遇針對銀行的惡意程式與針對性的APT 攻擊方式,一般資安單位人員無法24x7掌握資安動態,必須仰賴不同資訊來源的威脅情報提供,透過即時呈現風險以及傳達給應該知道的對象,而非廣發不相關人員變成信箱中的垃圾資訊。
發現威脅後可以立即發動盤查,以縮短因應風險處置的時距。要達到這個目標,不能單靠人力與隨機地資訊提供,必須就現有最耗用人力及資源的項目上面做改造,將這些靠人的流程活動,變成體制系統化。包括耗時易錯的人工處理資料及弱點探討,應該有對應的檢核方式及規則,針對特定弱點的狀況可以做到預先判斷處置,準備驗證資料,縮短驗證該弱點項目的風險真實存在或誤判的時間差。
2. 稽核結果可以是發現優點、獎勵優點
將安控有效性衡量指標變成激勵制度,稽核結果可以是發現優點、獎勵優點。
透過這樣的正向循環,使人員工作任務正常化,在人員的能力及能量培養到留住人才,應可在此重任及壓力下輕騎過關。
3. 心態是最大挑戰
正向面對資訊安全評估來找問題、解問題,勿誤以為天下太平或認為不會輪到我們的鴕鳥心態。在心態上應勿恃敵之不來,而透過固定巡邏的社區巡守概念,使資安成為團隊共同的目標及語言,該做的事(Due Care)應該要勤於落實(Due Diligence)。
行動應用App
稽核
委外
最新活動
2025.07.18
2025 政府資安高峰論壇
2025.07.24
2025 中部製造業資安論壇
2025.07.17
AI仿真內容滲透日常,如何有效提升員工 系統「辨識力」
2025.07.18
零信任與網路安全架構
2025.07.18
『Silverfort 身份安全平台』與『SecurEnvoy Access Management 存取管理』網路研討會
2025.07.23
照過來👀 2025 ISFP 新創募資實戰系列課程 開跑囉🏃♂️~ 募資不求人!從財務內功到投資攻心術一次掌握~ 趕緊立即報名✌️
2025.07.23
數位轉型下,企業的資安策略
2025.08.05
【2025 資安趨勢講堂】系列研討會
2025.08.08
網站滲透
2025.09.05
從零開始學IT網路 – 5 天帶你掌握 IT 網路核心、拿下國際認證!
看更多活動
大家都在看
新型勒索軟體「Bert」鎖定醫療與科技業,跨國攻擊威脅升級
Amazon Prime Day購物季成詐騙溫床,逾千個惡意網域瞄準消費者
Linux 基金會推出 Agent2Agent 協定,實現智慧型代理程式間的互通性
報告:製造業身分爆炸時代 九成業者需管控逾2500個有效身分
報告:深偽犯罪門檻降低,地下市場販售完整教學工具包
文章推薦
報告:開源惡意軟體暴增近2倍 攻擊者鎖定開發人員竊取憑證
多款知名軟體爆重大漏洞 Fortinet、Adobe、華碩產品受影響
Ruckus Networks 網路管理設備存在多個未修補的嚴重資安漏洞