https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

新聞

DEVCORE與微軟共同探討 CISO 資安投資策略

2022 / 07 / 04
編輯部
DEVCORE與微軟共同探討 CISO 資安投資策略
資安長在金管會要求下成當紅高階人才,如何在合規基礎上掌握當前資安威脅趨勢、安排資安資源調度?攻擊型資安公司 DEVCORE(戴夫寇爾)日前受微軟邀請,以白帽駭客觀點分享企業資安風險以及對資源配置的思維,更與微軟相關人士共同探究企業的資安最佳投資策略。

資安風險防不勝防,攻擊方思維助攻資安長事半功倍

疫情加快產業數位轉型的腳步,使更甚以往的資安威脅成企業隱憂;金管會近期也宣布以兩階段要求上市櫃公司設立資安相關單位,致使大型企業紛紛啟動尋覓合適資安長、制定更縝密的資安策略。

DEVCORE具備豐富檢測及網路安全風險評估經驗的「攻擊型資安公司」,以「攻擊方」思維協助資安長們評估風險與配置資源。DEVCORE 執行長翁浩正提出,企業現行遇到最大困境並不是來自於法規的難以遵循、或是尚未擬定策略,而是資安風險的戰場遠比企業想像得更⼤,在防禦者與攻擊者雙方資訊不對等的情況下,企業難以由駭客視角辨識出其重點攻擊區域,進行有效的相應防護配置,導致未設防禦的區域往往成為攻擊入侵路徑,進而造成企業損失。

DEVCORE 執行長翁浩正表示,「建議企業檢視風險時,不應只是檢視法規要求項⽬來挑選防護範圍及標的、採購資安設備及服務,而可藉由如紅隊演練、滲透測試等外部之風險評估方式以綜合考量,驗證企業投入資安防護的有效性,持續檢驗資安資源的投入情形,包含:盤點監控涵蓋率、事件的準確性及回應時間等,找出未知風險所在。」

資安資源配置不只是增添預算  正確評估風險範圍更關鍵

不僅如此,隨著資安危機頻發,企業投入資安領域的預算也成關注焦點,多數組織已經配合法規以及基於永續經營的考量,提高資安預算比例。然而根據 DEVCORE 長年經驗觀察,不少企業在預算編制及考量上過於著重已知、現存的漏洞,卻忽略尚未被發現的系統漏洞也可能對組織造成高衝擊,因此若能將預算配置於讓具攻擊能力的外部團隊協助演練,將有機會有效降低風險。

「企業應有所認知,資安預算作為維持企業穩定運作的重要一環,不應只是 IT 預算的一部分,而應是從持續營運的角度進行思考。戰略思維往往比單純購買武器更有效,企業應依真實風險來投入預算或進行採購,透過風險評鑑範圍擬定相稱的預算規劃,來最佳化資安投資。針對風險評鑑範圍,則可考慮化被動為主動,從『駭客思維』出發,透過紅隊演練找出系統潛在威脅區域,充分優化企業內風險評鑑機制,完善整體資安防護品質。」翁浩正於會中分享。

台灣微軟 Microsoft 365 事業部副總經理朱以方表示,「台灣微軟相信資安不是單一廠商的責任,而是透過分層負責的方式,各司其職,企業才能透過既有資源,將所有資安情報整合到單一平台,即時監測,達到最大程度的資安防護,而唯有企業擁有具備一定資安專業的人才,才能真正落實這一點。」