加強內城強度，因應資安事件應變能力

2018 / 11 / 19

編輯部

在這個數位創新時代，速度是決勝的關鍵，勤業眾信聯合會計師事務所陳威棋協理表示，駭客的攻擊與入侵是以分、秒為單位，但被駭單位的反應時間，卻是以日、週、月為單位，顯見強化固有風險管理與控制成熟度，提高體系弱點評估與威脅情資分析的能力和速度，以及提升資安事件應變的速度與能力，已經越來越重要。

建置資安應變機制與事件調查團隊
Gartner於2014年2月提出「預防無用論」（Perfect prevention is impossible），表示企業絕對無法成功阻止針對性攻擊的入侵，強調企業應永遠假設自身正受攻擊，故整體性的持續防禦流程（Continuous threat protection process），比預防駭客的攻擊更重要。陳威棋協理表示，目前世界各國已經陸續研擬資安法規，針對資安事件通報與應變之要求，有了更嚴格的規範，台灣也推出了「資通安全管理法」，要求企業應訂定資通安全事件之通報及應變機制，政府對企業對於資安防禦的要求越來越高。

陳威棋協理表示，想要建置資安應變機制與事件調查團隊，其中包括得先評估預算／需求、成立資安調查應變團隊、設定標準程序及定期演練、利用工具環境及分析標的，掌握這四項重點，才能建置完善的資安機制與團隊。在資安事件調查作業程序方面，則包括準備、識別、調

查、分析、情報，可以善用系統行為分析工具、日誌分析工具、惡意程式分析工具、網路封包分析工具、威脅情資管理工具，即時掌握網路攻擊現況，並即時加以攔阻。

展望未來，應建構應變、預警、持續的資安應變能量，設定事前應變機制，從組織、程序及技術面，全面性提升應變能量；事中進行監控預警，透過資安監控及威脅情報分析深化威脅預警能力，縮短反應時間；事後進行調查分析，危機應變管理縮短復原時間，及減小事件所帶來的沖擊。

我們可以中學習到，當我們面對越來越頻繁、多變的資安攻擊事件，如何即時監控網路活動，發現異常時及時加以因應，是資安事件處理的重要原則。不可置言的，APT攻擊模式已經成為駭客的主流攻擊模式，各單位面對駭客長期滲透進內網的攻擊，不能只是仰賴外圍防護的資安工作，而更要加強內城防禦，採用持續性的防禦流程，才能夠有效防堵駭客的攻擊。及時，提早與加速防禦成為了資安場域上的頻繁的流竄的話語，同時也是資安工作者的內心底層的期許。