上周我們報導了座談會第一階段,接下來我們繼續「指出資安的新衣」座談會第二階段:三位專家綜合回覆聽眾的建議與分享,經由《資安人》雜誌總召集人侍家驊先生與三位專家針對資安議題綜合進行回應,以下是綜合節錄的分享報導。
《資安人》雜誌總召集人侍家驊先生(以下簡稱「侍」):綜合三位主講者的意見可以得知,資安要成功,老闆的支持是關鍵因素,企業內部網路被攻陷也將成為常態,國人必須改變以往遇到問題才買設備的作法,並要能夠有效地運用設備,採購設備時也不能只考慮價格,廠商若只能低價搶標,將會發生劣幣逐良幣的現象,不利於資安產業與環境的發展。
BSI英國標準協會台灣分公司驗證部協理謝君豪先生(以下簡稱「謝」):資安要成功,長官要支持,且位階要高,目前政府單位已經要求任命單位副首長擔任資安長的工作,因此資安表現比民間單位較好。此外,資安導入的範圍不能限定在資訊部門,應該全公司導入,還要進行風險評估,並進行必要的處置。
對於資安規範要訂定SOP,但不能只是為了滿足驗證的基本要求,制度與工具要相互搭配。根據以往的經驗發現,出現資安問題的大多是業務單位,因此規定要符合業務單位的狀況來做有效的規範。
趨勢科技台灣技術總監戴燊先生(以下簡稱「戴」)進一步分享其自身公司為例表示:本公司員工對於資安的重要性都有所自覺,並且由財務長來擔任資安長,業務與研發單位均會協力配合。資安的重點在公司的治理,所以建議應該先盤點重要主機,制定SOP,將處理資料、金流的重點主機做網域隔離,全面地將公司設備做檢視與分級,進行風險控管,再來擬定防禦的方法並進行監控工作,最後則是制定回復計畫,萬一真的出現資安事件,則一定得從中得到教訓,並檢討因應,也可以找第三方的機構來做更好的鑑識,長久下來,便可以百毒不侵。
數聯資安業務部協理張政權先生(以下簡稱「張」):業界流行一句話「資安說起來很重要,做起來則是次要,忙起來便不要,出事時則忙著吃藥與找解藥。」不過很多人就算發生了資安事件,也只是會吃藥(處理善後),而不會找解藥(問題根治),資安漏洞仍然存在。要讓老闆重視資安,可以用情境的方式,拿同業的狀況來做對比,分析公司目前對於資安風險的承受度,以及同業已經做到甚麼程度,由於老闆都會有比較心態,因此便比較願意做資安工作的投入。台灣目前已經成為駭客的練兵場,全球駭客可以無時差地無縫接軌進行攻擊,但資安人員卻不可能7x24隨時待命,因此,在平時全公司都必須參與駭客攻防演練,包含管理層都應該要參與,這樣才能夠面對越來越嚴重的資安威脅。
侍:目前諸多裝置的產生,設備加密的防護也成為大家所留意的,,包括如何管制USB隨身碟,如何設定管理者的權限,如何避免中毒的電腦進行橫向感染,如何對資料進行自動化的加密保護與軌跡追蹤?我們分別請三位專家分享您們的防護建議。
張:APT進階持續性威脅(Advanced Persistent Threat)幾乎成為資安威脅的常態,資安必須做到全面的系統防護與主動阻擋,採用社交工程的釣魚信件入侵方式將會成為主流。對於USB隨身碟要進行盤點,設定那些人擁有權限,並做好存取控制與軌跡紀錄,需要想辦法從方便與安全上的角度上取得平衡。
謝:有很多問題應該要先評估為何而做,像是管制USB隨身碟究竟是因為擔心資料外洩,還是擔心電腦會中毒?因此而發生資安事件的風險有多高?然後在成本與效益中取得平衡。例如有某些製造業大廠與竹科的高科技廠商,對於外部電腦的管制方式,是採用保鮮膜與易碎貼紙將外部筆電密封起來的處理方式,若發現外部電腦的易碎貼紙破損,則直接將筆電的硬碟格式化,對於手機的攝影鏡頭也只是用易碎貼紙貼起來,這樣防護的原因是該公司所在意的是產品的外觀設計不能外洩。因為,從例子中我們可以看到,其實防護的重點有時不在於採用多麼高科技的技術,而是在於真實能夠管控的方法。所以應該從業務需求的觀點去評斷,有限制性的去使用這些設備,除非允許,否則便禁止。
戴燊先生也給予另一個角度思考建議大家,他表示網路架構規劃不正確或是不完整是最常接觸到客戶入侵的問題,因此建議客戶其實如果能夠做好通盤的主機盤點,建立安全區域,將重點主機控管納入監控範圍,這才會是最本源的防禦點。
戴君豪先生也將此座談會給予了一個完備的結尾,他表示不僅是USB隨身碟,還有BYOD(Bring Your Own Device)要不要管?IOT物聯網的風險呢?還有雲端技術、大數據(Big Data),這些新技術都也都存在資安風險,但也不能因噎廢食而不用這些新技術,因此,做好企業資安的健康檢查,從14個面向(政策面、組織面、存取面、開發面、委外面…),用洋蔥式包裹法來進行安全保護,並了解資安系統目的是在於降低威脅的可能性,還是為了降低威脅的衝擊,對症下藥,才能取得成效。
閱讀《資安人》座談會「指出資安的新衣」第一階段