https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

步步為營 完善資安

2018 / 06 / 19
侍家驊
步步為營 完善資安

於華南銀行任職超過30年的王世達經理,強調資安防禦的重點應該著眼『有效性』。在追求有效性的過程中,要有清楚的整體防禦策略、再分階段逐步落實,最高境界是在使用者不知不覺中已然處於完善的資安環境裡,就可以降低許多執行上的阻礙。

合規之外 有效更重要
金融業是一個受高度監理的行業,主管機關盯得很緊。如果要符合規定,設計好控制措施、導入必要的管控設備,這樣大都可以做到合規。但是導入的設備真能發揮應有功能? 廠商的介紹過程都說可以擋掉,但真是如此嗎? 有些情境是否廠商沒想到或甚至避而不談?

延續這樣的考量,現在金融業很熱的CISO議題,有些人認為這是一個管理職,可以不熟資安技術。但是資安至少牽涉各類作業系統、網路、平台、middleware管理、權限管理等,CISO應該要有相關的技術背景及素養去鑑別屬下或廠商提出的方案,才比較能落實有效性。例如,要求USB儲存裝置要列管,找廠商買設備,廠商的業務都說沒問題,也真的可以控管所有的USB儲存裝置,但是驗證時王經理將手機透過USB Port連上電腦時,手機竟然可當USB儲存裝制運作! 甚至電腦可以共用手機的4G網路,馬上就看出該工具的缺陷,這就是合規但未必有效。

化整為零、逐步蠶食推資安
資安是很難量化它對企業的貢獻,在2001年當時的氛圍下,要如何推動資安確實需要一些技巧與耐心,首先重要的是要有資安佈署的藍圖,一切從盤點風險開始,再訂定優先順序,依現有人力、資源做該做的事,分階段實施,以四年為一個階段,分四階段逐步達成。

資安工作要落時通常都會涵蓋所有同仁,影響同仁的使用習慣,例如要限制同仁上網,資安單位除了架設管理工具外,還要想如何實施阻力最小,初期先從同仁都可以接受的網站下手,像不可以瀏覽風險最高的色情、賭博、駭客相關的網站;等一段時間後再限制網購、影片的網站。在合規合理前提下,先讓大家習慣再逐步限縮,循序漸進以降低導入障礙。
善用汰換資訊設備的同時強化基礎安全
利用汰舊換新資訊設備時,同時強化架構提高安全強度。 王經理利用職務轉換到網路部門時,進行網路重新規劃。讓同仁沒有任何的感覺與不便下完成網路架構的提升,以前是單中心加備援中心,現在是兩地雙中心,活化所有備援中心設備,同時兩邊都有對等的資安防護,在可用性及資安防護量能上都提高了。

再以儲存設備汰換為例,目前已全面導入full flash,可達到節能、穩定、可靠,在空間使用上約減少90%,儲存設備速度加快約3倍。以前的磁帶,無論保存、管理、傳遞的風險,都挺麻煩,現在可以在線上直接做異地備份。 
 資安不當業務的絆腳石
走出資安單位就不要一直講資安,而是從業務角度切入。通常業務要最快、最方便,但是大家必須考量到還有法規要求及公司的政策要落實,這時我們主要的功能就是在合理的安全下滿足業務需求,如何在資安與業務中尋找平衡點是資安人要學習的重要課題與任務。

假設業務與資安有衝突,只能靠協調。資安人員就必要且重要的地方,再與業務協調,如果資安人員態度硬、業務態度也硬,那就是吵不停。資安工作不能硬來,必需要靈活有彈性。例如,防火牆要開新通道,業務才能進行,那資安人員就要規劃『抵減措施』,如發多因子認證裝置補強管控能量。

有經驗資安人員難尋
有經驗資安人員難尋只好從新人培養起,王經理表示這是無奈的權宜措施。照正常程序資安人員至少要歷練3-5年,必須培養各類OS、網路、中介軟體等素養,更重要的是同時觀察道德內涵。新人可以沒有經驗,初期將被安排到SOC輪大夜及例假日,預計在這裡培養3-4年,由有經驗的人帶領以學中做、做中學的「習經驗」培育專業能力,還可以期待較強的向心力。如果是有經驗的新人,會容易上手,但也很容易因為薪資落差而跳槽。

綜觀目前的資安情勢資安人員的思維必需從根本改變了,『主動防禦』、『預防資安』一躍而為主要工作態度及行動方針,才能儘量防患未然向資安零事故目標邁進。