歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
血的教訓(下) 國內重大資安事件十大啟示
2017 / 10 / 11
侍家驊
上集文章分享了五個啟示
:資產風險評估應以資訊流為依據、現有資訊基礎架構,擋不住網際威脅、網路縱深防禦不足、無法掌握所掌管的資訊環境、小心謹慎使用特權帳號,接下來我們將持續分想另外五個啟示。
啟示六、空有ISMS系統,未切實落實
通過資訊安全管理系統 ISMS(Information Security Management System)的單位,最常見的就是管理與實際執行有落差。稽核來了,只要四階文件準備好,大家都沒事。但實務上,未必都切實如文件般的落實。例如有個案例,規劃了一個測試區可以連OA區,當時只開放三天滿足測試需求,但直到系統上線之後仍沒有取消這個連線。另外一個案例,機房通過ISMS,五年來policy沒進行過任何修正,這又如何能面對現今快速變化的網路威脅呢?
ISMS的精神是預防,避免資安事件的發生,企業會將大部分資源投入預防及偵測。但面對新型態威脅除了預防偵測外,還需有偵測機制、事件應變處理(response)、系統回復(recovery),進而再反饋修正防禦策略。企業主關注的是開門做生意,重視系統可用性,但是一旦系統安全性沒有優先考量,其可用性一樣也搖搖欲墜。
啟示七、人員資安認知程度不足,對資安工作支持度低
政府一般人員的資安認知,經過長時間的訓練與要求,普遍上比起金融業、高科技業要好一些。高科技業的研發人員,較難要求與配合,認為IT相關技術我都懂,不需管東管西,造成不方便,甚至自己找方式迴避被管,即使出事了,第三方服務公司也很困難獲得應有的協助。然而,金融業則是職責分工太細,跨部門溝通困難,對於訂定任何政策,只要違背既有習慣與流程,常常表現出的態度就是抗拒。
啟示八、資源投入不足、資安決策層級太低
金融業有金管會要求、有相關標準要遵循,通常費用上較願意投入。相對來說,政府及高科技,投入資源就遠遠不足。預算不足更不必談縱深防禦、難買應該有的服務。在高科技領域,常常就是一位科長、課長負責,層級太低就很難爭取資源預算、無法直接與決策層對話、無法跨部門推動政策及規範。
前幾項問題的根結,源自資源不足,人力不足導致無法一一落實,該注意、該遵循的動作;經費不足就無法部署有效的防禦機制。同時,沒有高層的支持,資安政策也無法推動。
啟示九、管理者、資訊、資安人員,對網路威脅認知落後
目前管理層普遍對網際威脅無感,除此之外,即使是IT或資安人員對網路威脅認知仍舊不足,還認為有防火牆, IPS就可擋,以為有SPAM filter就可擋APT mail攻擊。對威脅體認不足,當然就不會認真對待。
啟示十、無事件處理計畫,事件發生時不知所措
金融業因為被主管機關要求,雖然有營運持續管理(Business Continuity Management)演練,但網路攻擊方面大多未演練過。面對網際威脅,如果沒有事先準備基本應對計畫,一但出事,誰來當總協調人?哪些系統要馬上保住、馬上止血? 該找哪家資安公司來協助? 如果這些都沒有事先設想好,萬一事件一發生,勢必又急又亂,損害只會更加擴大。
這牽涉到花費多長時間解決,是三天、一周、三周、還是更久,時間越長傷害越大。事件處理應該企業自己來主導,因為最快、最容易掌握跨部門溝通、最了解實際業務需求及關鍵處。企業建立基礎能量,更專業的部分則可以委託專業廠商的服務。
結語
發生資安事件,通常都不是單一原因,而是多方原因都出錯。任何組織無論在技術、管理、人員,只要有缺陷,早晚都會被攻入。面對網際威脅,那是與駭客比速度。駭客的每個攻擊步驟,跨網域、跨電腦都需要時間,越早發現問題,就可以爭取時效延緩入侵程度,越早發現就能越早阻絕。
面對現今險峻的網際威脅,企業及組織只有一個選項 - 『何時被攻破? 』。新的認知將是,我們多快可察覺異常? 多快解決問題、馬上止血? 多快能改善現有環境? 持續改善防禦的動能有多高?
以往我們一直強調的重點: 老闆要更重視安全且將資安治理視為職責、有專職人員看資安管理、看技術、稽核人員專職素養的加強、抗拒資安政策相關人員資安認知的提升、以及培養外部專業資安技術團隊。
這項變革的層面太寬廣,需要主管機關、企業主或單位主管、資訊人員、資安人員、資安服務業,大家一起努力。這很難,但只要我們願意踏出第一步,就有改變的希望!
閱讀:
血的教訓(上) 國內重大資安事件十大啟示,五個啟示
網際威脅
最新活動
2024.10.03
2024 數位經濟資安趨勢論壇
2024.09.11
【資安活動快訊】9/11(三) 2024 ISFP 談資安國際趨勢到臺灣資安圈內投資與合作講座課程
2024.09.12
ISO 27001認證是什麼?可否自行導入?資安懶人包
2024.09.13
[高雄專場]「神機妙算料事準,洞悉威脅守安全」資安超前部署論壇
2024.09.19
安碁學苑資安職能線上講座:資訊安全工程師
2024.09.24
【2024 叡揚資安趨勢講堂】
2024.09.27
零信任資安強化企業防禦韌性媒合交流會
看更多活動
大家都在看
內部滲透測試在AI時代下對資安防護的重要性
「佛地魔」惡意程式假冒全球各地稅務機關發動攻擊
最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
TXOne Networks籲半導體業強化資產生命週期防護
駭客招數不斷翻新,「用戶帳號」仍是首要目標
資安人科技網
文章推薦
美國推新計畫改善邊界閘道協定安全
最新Linux 版本Cicada勒索軟體 鎖定 VMware ESXi 伺服器
駭客招數不斷翻新,「用戶帳號」仍是首要目標