https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

《資安人》座談會「指出資安的新衣」第一階段

2017 / 10 / 30
編輯部
《資安人》座談會「指出資安的新衣」第一階段

上周24日資安人舉辦一場研討會,會中除了六場個別資安廠商的精彩演說之外,其中最為聽眾所期待參與的「與三位專家的座談會」活動,也成為注目的焦點。以下將分為兩階段與大家分享:
第一階段:專家的觀點演說。
第二階段:三位專家綜合回覆聽眾的建議與分享。

「資訊安全」就像是一件國王的新衣,大家都知道它很重要,很多人也都知道該怎麼把資安做好,但為何資安事件仍然頻傳,甚至還躍上新聞版面?本文將透過與三位資安專家個別從過去服務企業的經驗與看到現在已經發生或是即將遭遇的問題,一一為您指出資安的國王新衣,說出大家平常不敢說的真相。

策略明確、規範嚴謹
首先,由BSI英國標準協會台灣分公司驗證部協理謝君豪先生從分析企業組織推動資安常遭遇到的管理困境為開端。他以酒駕肇事為例,雖然國內對於酒駕的規定相當嚴格,但發生酒駕肇事的案件中,其中的累犯竟高達三分之二,就像是資安事件一樣,其實在技術面上,並沒有多大的問題,問題都是出在管理面。

謝君豪表示在這個高度數位化的社會中,駭客事件越來越嚴重,這是因為在許多地下市集中,駭客可以輕易地取得各式各樣的攻擊工具,這使得駭客要進行攻擊變得簡易許多。此外,金流的問題也因為比特幣的出現使得駭客攻擊的頻率與手法的多樣性與方便性更為增高。從統計資料來看,以技術上來看,不論是在哪個地區,資料的洩漏、網路攻擊與資通訊的非預期中斷,是最常見的三種資安技術風險,未來則以通過網際網路來利用惡意軟體進行攻擊為主流。從非技術面來看,則可以從4P(Partnership、Product、People、Process)這四個面向來分析,其中長官對於資安的支持與承諾則最為重要,可以從負責資安的長官位階,以及可以獲得的資源多寡,看出單位對於資安的重視度。

此外,資安策略的明確性,以及制度規定的嚴謹性,也是資安能否成功施行的關鍵,且資安程序還是得隨著環境的變化適時地進行調整,才能保證不會過期,因此謝君豪建議盡量採用自動化工具來進行管理,畢竟資源有限。謝君豪最後拋出了幾個讓與會在座大家思考的方向,企業內部的資安資源投入的對不對?長官是否支持?資安權責是否清楚?規定的範圍是否適切性?等四個問題。後續第二階段座談將一一分享。

人員、技術與治理
第二位專家則邀請趨勢科技台灣技術總監戴燊先生,他表示許多企業以為自己可以有效地對抗現今網路威脅,因為公司已經遵循ISMS資安管理制度,已符合主管單位之稽核要求,又做了備份,並認為只要建立了堅強的閘道防線,即可決戰於境外,也覺得做事要挑重點,不需要的就別多做,也以為對於沒有金流、個資的系統,駭客便沒有興趣,並只要鞏固公司自身安全即可,外包商的安全須自行負責,也認為我們公司不是大咖,應該不會成為目標,或是公司沒什麼東西好偷的,就算被入侵影響也有限,這些種種都是常見的資安迷思。

戴燊表示企業網路安全綜合來看最常見的問題,來自三個方面,人員、技術與治理,這其中最常見的問題來自管理。例如,企業主經常因為不了解網路安全的重要性,因此投入的資源並不多,總是等到出了事,再來找人負責;主管決策錯誤,導致企業成員缺乏訓練,缺乏資安意識,或是資訊人員身兼資安工作,不具備有面對入侵的因應技能等等,這都是常見的管理問題。

戴燊進一步分享其發現許多被駭客入侵的案例,其資訊基礎架構僅考慮到業務可用性,設計缺乏考量網路安全性,採用了不安全的網路架構邏輯設計,以及不安全的防火牆政策設定與變更管理,與不安全的網域服務架構設計與服務設定,有些企業也發生缺乏網路縱深防禦的觀念,對外部防禦不足,內部重點伺服器、內部網路未建立層級、切割,甚至發生特權帳號外洩,因為帳號過多,未能及時檢視帳號的可用性與必要性,缺少資料防止外洩、加密的解決方案或是缺乏專業資安監控與事件處理服務,像是對Log檔案進行監看等等狀況,因而造成經常發生「後知後覺」或「不知不覺」情形。

戴燊更特別提到,有許多新創公司通常是以研發為主,因此企業網路架構也是以研發方便為導向,等到企業成長為上櫃上市公司後,卻往往還在沿用早期的網路架構,導致駭客入侵時,如入無人之境。最後戴燊還提醒了,如果能夠擁有攔阻機制與防禦機制,肯定與正視問題的存在性,便可以避免被駭的事件發生。該如何具體防禦將會於座談會詳細分享。

勇於投資資安預算
最後則邀請了擁有豐富的資安事件實戰經驗的數聯資安業務部協理張政權先生分享實際案例。首先,張協理舉了一個公司發生商務電子郵件詐騙事件(Business Email Compromise, BEC),其配合的供應商收到廠商要求付款,由於這些電子郵件都是通過ERP系統發送給客戶,並擁有正確的電子簽章,因此客戶便不疑有他付款了,事實上,雖然這些電子簽章是真的,但是匯款帳號卻不一樣,事件直到廠商發現有三十幾家廠商未付款,追查之下,才知道被詐騙,因而損失好幾百萬元。 會發生這種BEC事件,通常是因為沒做好特權帳號的控管,而這些特權帳號的擁有者,通常不是研發人員,也不是老闆,而是老闆的秘書與特助,經過掃描這些秘書與特助的電腦,經常可以發現許多的木馬程式,因為這些秘書與特助有時會使用App看韓劇,當秘書與特助下載這些App時便被植入木馬。

此外,也有一些高科技公司發生智慧財產外洩的事件,經過調查,許多特權帳號來自MIS人員,也由於MIS人員經常為相互代理人,因此幾乎所有的MIS人員都擁有特權帳號,最終由於很難查出是誰洩漏機密,因此這些MIS人員全部被調職。事實上,設立特權帳號必須確認擁有者的必要性,符合Need to know與權限最小化的原則,才能盡量避免特權帳號外洩的事件發生。

另外也同樣發現到有很多企業主不願意投資IT預算,這是因為他們不能看到IT的效益。在美國的多數企業會投入公司總預算的10%做為IT預算,但在台灣則遠低於這個數字,資安人員必須為IT的投入設定KPI,讓老闆了解IT的投資效益,老闆才會願意投資。許多企業往往是發生資安事件之後,才願意投資經費,其實如果在早期便花一點小錢,往往可以避免後期所帶來的損失。
例如,有許多製造業從以往B2B走向B2C,但是其電子商務(EC)因為營運成本太高、無法做到7x24隨時有人值班,在建置網站架構時的防禦機制也不足,在遭到駭客入侵之後,便導致其IT計畫執行失敗。

張政權建議資安人員必須對於資安設備的利用做有效率的評估,進行適當的調配,將資源最佳化,也將設備的效益進行量化,確定資安問題處理的必要性,對設備進行風險與成本效益的評估(cost benefit analysis, CBA),這樣企業主才會願意進一步投資。他特別強調資安並不是資安人員的責任,而是企業內每個人的責任,這樣才能確保資安工作的順利推行。

座談會上半場的三位專家個別的精彩演說,點出了許多現階段企業資安人員所面臨的真實狀況與困難點。該如何讓大家的問題有具體明確可以用上的方法來疏通與解決呢?

座談會的下半場三位專家的由《資安人雜誌》總召集人侍家驊先生與三位專家針對資安議題綜合回應分享給大家,敬請您們拭目以待下期的分享報導。