首頁 > 焦點新聞

『合規』與『有效』維護數位安全的英雄:資安長

作者:編輯部 -2018 / 05 / 03 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

國內金融單位,繼銀行金控後,金管會於日前再宣布資產上兆的保險業者須有獨立的資安專責單位即將於今年5月25日施行的歐盟GDPR要求企業需設置資料保護長(DPO);另外美國紐約州金融廳發表的「金融服務業網路安全要求規範」(23 NYCRR Part 500)規定金融服業者須設立資安長,以確保網路安全計畫的執行。諸多的政策、法規的變動下,金融業資安長面對外在的網路威脅昇高,與內部的組織架構變動,該如何自處?

今年春季時節,《資安人》雜誌邀請台灣金融業CISO資訊安全長們,進行一場互動交流會,主要目的為銀行同業們提供一個認識交流的機會,分享彼此在工作上面臨的各項挑戰。也希望藉由這樣的交流,達到某種程度的產業虛擬聯防,大家一起為客戶提供更安全的金融服務來努力。

全球科技風險十年最高
首先就威脅攻擊來看,BSI英國標準協會台灣分公司總經理蒲樹盛舉曾預測出金融海嘯、ISIS組織興起的世界經濟論壇報告為例,2018全球風險中科技風險高居第二,這在過去十年從未有過,而科技風險中又以網路攻擊佔第一位。

蒲樹盛進一步指出,像目前IoT裝置未能蓬勃興起的原因之一在於網路頻寬不足,但在今年5G的規格確定後,明年開始上線測試,預計後年普及,網路頻寬的增加也將帶動另一波IoT裝置的大量使用。不過他警告,目前IoT設備的弱點嚴重。以心律調節器為例,以往在不用聯網的封閉環境下使用較無安全風險,一旦聯結網路後,經檢驗竟有高達8,000個漏洞。而這些不安全且為數龐大的IoT裝置,當然就成為駭客發動DDoS攻擊的最佳工具。

資深技術顧問許力仁也提到,以往DDoS平均100Gb的攻擊流量,到去年已達400Gb。以香港、新加坡發的例子來看,即便ISP業者提供流量清洗的服務,但當攻擊超過70Gb時,為不影響到其他用戶,ISP業者還是會直接停止受害者的網路服務。此外,他也提醒像HTTP GET Flood這類的應用層攻擊,還是得靠WAF應用程式防火牆進行阻擋。如果是用AWS這的雲端服務,雖然供應商有提供WAF防護,但如何與本地端的WAF進行一致性的分析,則成為企業在雲端應用的另一個難題。

除了顯而易見的攻擊威脅外,企業也不能輕忽低風險警示的潛在危機。實務上像IPS、IDS等網路安全設備,為避免警示訊息過多造成判讀上的困擾,一般都都會調整為僅顯示高風險威脅。但蒲樹盛指出,許多駭客在開始嘗試入侵時就是呈現在低風險的狀態,「當出現高風險時,都是已發生了」。因此最好在出現低風險時就能予攔阻,以及早預防資安事件的發生。甚至在看不到的地方,像是駭客常用的加密網路,或是在APT入侵後如何徹底檢查IT環境以確認清除乾淨?這些都是可能造成資安事件旳威脅來源。


1
推薦此文章
3
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…