歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
血的教訓(下) 國內重大資安事件十大啟示
2017 / 10 / 11
侍家驊
上集文章分享了五個啟示
:資產風險評估應以資訊流為依據、現有資訊基礎架構,擋不住網際威脅、網路縱深防禦不足、無法掌握所掌管的資訊環境、小心謹慎使用特權帳號,接下來我們將持續分想另外五個啟示。
啟示六、空有ISMS系統,未切實落實
通過資訊安全管理系統 ISMS(Information Security Management System)的單位,最常見的就是管理與實際執行有落差。稽核來了,只要四階文件準備好,大家都沒事。但實務上,未必都切實如文件般的落實。例如有個案例,規劃了一個測試區可以連OA區,當時只開放三天滿足測試需求,但直到系統上線之後仍沒有取消這個連線。另外一個案例,機房通過ISMS,五年來policy沒進行過任何修正,這又如何能面對現今快速變化的網路威脅呢?
ISMS的精神是預防,避免資安事件的發生,企業會將大部分資源投入預防及偵測。但面對新型態威脅除了預防偵測外,還需有偵測機制、事件應變處理(response)、系統回復(recovery),進而再反饋修正防禦策略。企業主關注的是開門做生意,重視系統可用性,但是一旦系統安全性沒有優先考量,其可用性一樣也搖搖欲墜。
啟示七、人員資安認知程度不足,對資安工作支持度低
政府一般人員的資安認知,經過長時間的訓練與要求,普遍上比起金融業、高科技業要好一些。高科技業的研發人員,較難要求與配合,認為IT相關技術我都懂,不需管東管西,造成不方便,甚至自己找方式迴避被管,即使出事了,第三方服務公司也很困難獲得應有的協助。然而,金融業則是職責分工太細,跨部門溝通困難,對於訂定任何政策,只要違背既有習慣與流程,常常表現出的態度就是抗拒。
啟示八、資源投入不足、資安決策層級太低
金融業有金管會要求、有相關標準要遵循,通常費用上較願意投入。相對來說,政府及高科技,投入資源就遠遠不足。預算不足更不必談縱深防禦、難買應該有的服務。在高科技領域,常常就是一位科長、課長負責,層級太低就很難爭取資源預算、無法直接與決策層對話、無法跨部門推動政策及規範。
前幾項問題的根結,源自資源不足,人力不足導致無法一一落實,該注意、該遵循的動作;經費不足就無法部署有效的防禦機制。同時,沒有高層的支持,資安政策也無法推動。
啟示九、管理者、資訊、資安人員,對網路威脅認知落後
目前管理層普遍對網際威脅無感,除此之外,即使是IT或資安人員對網路威脅認知仍舊不足,還認為有防火牆, IPS就可擋,以為有SPAM filter就可擋APT mail攻擊。對威脅體認不足,當然就不會認真對待。
啟示十、無事件處理計畫,事件發生時不知所措
金融業因為被主管機關要求,雖然有營運持續管理(Business Continuity Management)演練,但網路攻擊方面大多未演練過。面對網際威脅,如果沒有事先準備基本應對計畫,一但出事,誰來當總協調人?哪些系統要馬上保住、馬上止血? 該找哪家資安公司來協助? 如果這些都沒有事先設想好,萬一事件一發生,勢必又急又亂,損害只會更加擴大。
這牽涉到花費多長時間解決,是三天、一周、三周、還是更久,時間越長傷害越大。事件處理應該企業自己來主導,因為最快、最容易掌握跨部門溝通、最了解實際業務需求及關鍵處。企業建立基礎能量,更專業的部分則可以委託專業廠商的服務。
結語
發生資安事件,通常都不是單一原因,而是多方原因都出錯。任何組織無論在技術、管理、人員,只要有缺陷,早晚都會被攻入。面對網際威脅,那是與駭客比速度。駭客的每個攻擊步驟,跨網域、跨電腦都需要時間,越早發現問題,就可以爭取時效延緩入侵程度,越早發現就能越早阻絕。
面對現今險峻的網際威脅,企業及組織只有一個選項 - 『何時被攻破? 』。新的認知將是,我們多快可察覺異常? 多快解決問題、馬上止血? 多快能改善現有環境? 持續改善防禦的動能有多高?
以往我們一直強調的重點: 老闆要更重視安全且將資安治理視為職責、有專職人員看資安管理、看技術、稽核人員專職素養的加強、抗拒資安政策相關人員資安認知的提升、以及培養外部專業資安技術團隊。
這項變革的層面太寬廣,需要主管機關、企業主或單位主管、資訊人員、資安人員、資安服務業,大家一起努力。這很難,但只要我們願意踏出第一步,就有改變的希望!
閱讀:
血的教訓(上) 國內重大資安事件十大啟示,五個啟示
網際威脅
最新活動
2025.02.19
2025資安365年會
2025.02.15
2025年ipas資訊安全工程師(初級/中級)-能力培訓班
看更多活動
大家都在看
美國CISA發布OT安全採購指南:強調12項關鍵產品安全要素
駭客利用SPF DNS設定錯誤建立MikroTik殭屍網路散布惡意程式
美國FTC提告GoDaddy長年網路安全防護不足
Microsoft 推出 2025年1月 Patch Tuesday 每月例行更新修補包
Fortinet修補遭駭客利用數月的FortiOS零時差漏洞
資安人科技網
文章推薦
思科修補Meeting Management重大權限漏洞,可導致遠端提權攻擊
Cloudflare CDN漏洞恐洩露用戶位置資訊
OT與IT系統融合:資安環境新挑戰