DEVCORE與微軟共同探討 CISO 資安投資策略

資安長在金管會要求下成當紅高階人才，如何在合規基礎上掌握當前資安威脅趨勢、安排資安資源調度？攻擊型資安公司 DEVCORE（戴夫寇爾）日前受微軟邀請，以白帽駭客觀點分享企業資安風險以及對資源配置的思維，更與微軟相關人士共同探究企業的資安最佳投資策略。

資安風險防不勝防，攻擊方思維助攻資安長事半功倍

疫情加快產業數位轉型的腳步，使更甚以往的資安威脅成企業隱憂；金管會近期也宣布以兩階段要求上市櫃公司設立資安相關單位，致使大型企業紛紛啟動尋覓合適資安長、制定更縝密的資安策略。

DEVCORE具備豐富檢測及網路安全風險評估經驗的「攻擊型資安公司」，以「攻擊方」思維協助資安長們評估風險與配置資源。DEVCORE 執行長翁浩正提出，企業現行遇到最大困境並不是來自於法規的難以遵循、或是尚未擬定策略，而是資安風險的戰場遠比企業想像得更⼤，在防禦者與攻擊者雙方資訊不對等的情況下，企業難以由駭客視角辨識出其重點攻擊區域，進行有效的相應防護配置，導致未設防禦的區域往往成為攻擊入侵路徑，進而造成企業損失。

DEVCORE 執行長翁浩正表示，「建議企業檢視風險時，不應只是檢視法規要求項⽬來挑選防護範圍及標的、採購資安設備及服務，而可藉由如紅隊演練、滲透測試等外部之風險評估方式以綜合考量，驗證企業投入資安防護的有效性，持續檢驗資安資源的投入情形，包含：盤點監控涵蓋率、事件的準確性及回應時間等，找出未知風險所在。」

資安資源配置不只是增添預算  正確評估風險範圍更關鍵

不僅如此，隨著資安危機頻發，企業投入資安領域的預算也成關注焦點，多數組織已經配合法規以及基於永續經營的考量，提高資安預算比例。然而根據 DEVCORE 長年經驗觀察，不少企業在預算編制及考量上過於著重已知、現存的漏洞，卻忽略尚未被發現的系統漏洞也可能對組織造成高衝擊，因此若能將預算配置於讓具攻擊能力的外部團隊協助演練，將有機會有效降低風險。

「企業應有所認知，資安預算作為維持企業穩定運作的重要一環，不應只是 IT 預算的一部分，而應是從持續營運的角度進行思考。戰略思維往往比單純購買武器更有效，企業應依真實風險來投入預算或進行採購，透過風險評鑑範圍擬定相稱的預算規劃，來最佳化資安投資。針對風險評鑑範圍，則可考慮化被動為主動，從『駭客思維』出發，透過紅隊演練找出系統潛在威脅區域，充分優化企業內風險評鑑機制，完善整體資安防護品質。」翁浩正於會中分享。

台灣微軟 Microsoft 365 事業部副總經理朱以方表示，「台灣微軟相信資安不是單一廠商的責任，而是透過分層負責的方式，各司其職，企業才能透過既有資源，將所有資安情報整合到單一平台，即時監測，達到最大程度的資安防護，而唯有企業擁有具備一定資安專業的人才，才能真正落實這一點。」