資安的威脅,只有隨著科技越來越進步,而變得越來越複雜。嚴格一點說,這類的威脅又大致可以分為幾部分: 第一是因為導入新技術、新設備所引起的威脅,行動裝置的使用就是一個最明顯的例子,例如現在手機端的安全,除了傳統網路通訊安全外,還有很多是APP程式的安全。這種新科技所造成的議題,在這幾年越來越多,再加上這幾年談的大數據、IOT、雲端等,也使得這些熱門的議題,又增添了許多關於資訊安全的討論。
而另外一種,則是因為新科技與商業流程的導入,或是與原有的技術做整合,因為新的業務模式所導致的風險。舉例來說,因應GPS的使用,所以很多手機程式都會把所在地附近具有特色的餐廳、景點加以整理,或是利用手機定位,與傳統的闖關遊戲相結合,但是同時會不會因此而保存了使用者相對位置的資訊,這些資訊需要如何保存,是不是有銷毀的機制。然而這方面的議題,則會視高階主管的重視度以及商業模式的改變而不斷調整。
另外比較麻煩的一種,則是原有技術下的產物,但是因為過去未重視或是貪圖方便,除了一方面需要更動較大的資訊環節,同時因為使用了一段時間,導致大家已經養成習慣而不願意更動,最明顯的例子,就是遠端連線的議題。在網路連接比較單純的年代,這的確是很好用的工具,但同樣的,其所面對的風險也是很大,只是大家以往沒有特別提出來也都使用習慣了,時間久了就被制約,除非出了很大的事或是被主管機關裁罰,不然這些風險,很多時候都會不自主的被跳過。
除了積極做為,還要心態調整
而身為新一代的資訊安全管理人員,如果還是如同以前的做法,只是定期做程式修補或是藉由弱點掃描報告,看看有那些需要修補的機器設備,甚至只是形式上執行一下滲透測試,這樣子對於現在資訊安全作業而言,絕對是不足夠的。除了要有更積極的做為外,甚至要從人員的心態上做調整,也就是從事後調整,轉換成事前預防。舉個例子,去年度曾經喧騰一時的DDos攻擊,難道一定要等到公司的網路無法運作了,再來想有沒有解決方案,或是只是和ISP的業者,簽訂一個半套的清洗流量的合約嗎? 是不是能夠多思考一下,為什麼主要攻擊的對象都是證券業者,為什麼是對特定行業的攻擊呢? 還是只是隨機抽樣的結果? 那又為什麼選擇證券業呢? 有沒有可能是網路銀行? 還是因為證券業的時效性比銀行業的時效性來的更強? 我的產業是不是也有同樣的特性? 如果我的網路掛了,我有沒有其他可以採取的措施?
我需要走同一入口的端點嗎? 還是我可以用不同的ISP業者?
問了這麼一串為什麼,可能只是對現有的問題有了更進一步的瞭解,但這並沒有提供任何的解決方案,充其量只能說更加深入的認識,「找出解決方案」才是重點。
資料一定要「真實」
要找出解決方案,有時候需要更多的數據資料,而且這些數據資料,是必須能夠反映現實的狀況,並且必須是真實的資料。從過去相關行業的案例,到目前所面臨可能的損失,或是現行網路架構的漏洞…等等,可能都要需要有明確的數據來做預防與判斷。最重要的是這些數據對於組織的影響力。不要以為老闆看了這些數據就會買單。台灣的老闆願意主動花費在資安上的比率相對是低,通常老闆會提幾個問題「如果不做會怎麼樣?」、「其他同業有沒有人做,他們是怎麼做的?」、「會不會被罰錢?如果被罰錢要罰多少錢?」、「只有這個解決方案嗎?有沒有其他的解決方案?費用差異是多少呢?」、「這樣會是成為一次性的投資嗎?」。這些問題可能都是在準備這些資料時需要一併考量的,但重點有一個前提,就是你所提供的資料一定要「真實」。一但這些資料被老闆發現是假的,或是有錯誤的,那高階主管對你的信任度就會大打折扣。
除了要爭取管理階層的同意外,同時還要去思考的,我有那些解決方案,這些解決方案,有沒有先後順序的考量。或是目前的現況,有沒有那些環節是最脆弱的,意思也就是對組織影響最大的。資訊安全絕對不是只買了一套設備進來,然後驗收完過了保固期,這套設備也就不再使用了。有很多人工控制可以一併建立或處理的,甚至有些是檢核項目或檢核頻次都需要調整的,重點是掌握的資訊是否足夠,同時手邊的資料是否正確。有了這些資料,再加上對整體業界及組織的熟悉度,這樣才有可能去擬訂一個較為完善的計畫。
計畫,具備可執行性與掌握足夠且正確資料
計畫不是作文比賽,有些主管會花很多時間,去改其中的一、兩個用字,但是沒有明確的時程,也沒有具體的執行項目,只是有個概念。這樣的資訊安全計畫,基本上是不完整的。計畫,重點是需要具備可執行性,對於整體的計畫,需要有不同的檢核點,這些檢核點不光是完成了那些項目,更重要的是這些完成的項目,是不是有發揮預期的功效,還是有那些情況是當初沒有考量到的,有沒有需要加強那些項目,或是目前執行的成果有那些落差,這些落差所造成的原因是什麼? 有沒有補救的方案,會不會影響到整體的時程與費用?還有沒有可能的風險?一連串的為什麼,目的就是要在這個過程中,不斷的自我釐清,讓每個環節盡可能的不要有所疏漏。
現在的資訊安全,絕對不是單兵作戰就可以完成的,需要不斷的思考、思考、再思考,除了以往熟悉技術外,更重要的是要掌握足夠而正確的資訊,再配合對於業務的熟悉度,如此才能將資訊安全計畫,真正的落實在日常作業中。
【IBM資訊安全事業部 錦囊袋】
.jpg)
了解營運風險 可提高資安防護力
資安計畫怎麼訂? 這是目前大家期待可以有個方針依循與參考。
IBM資訊安全事業部協理金天威建議,有鑒於產業特性、組織結構、資安預算等條件迥異,以及可承受的營運風險不同,目前並沒有一體通用的資安防護制度,因此建置真正符合公司需求的防護機制,企業需要深入分析公司需求的角度來加以思考。
觀念
金天威進一步表示,以目前企業經常面對預算、人力有限的狀況下,資訊人員可從進行弱點偵測、漏洞偵測出發,找出企業資安防護架構的弱點,再從法規遵循、可承受的風險進行補強,如此將有助於讓資安預算發揮最大效益,同時提升整體防護能力;畢竟一間公司的資安防護能力高低,並非由引進哪些資安設備來決定,而是取決最弱環節的防護能力,如資訊人員若沒有做好特權帳號管理,那駭客只需從取得高權限帳號著手,即可突破資安閘道器的防護,輕鬆取得價值昂貴的商業機密,因此隨時留意企業防護架構的弱點處,是資安防護的首要任務。
工具
IBM Security 免疫系統最大特色,在於能協助資安人員掌握企業的資安現況,針對資安事件前、中、後,做出相對應的管理與回應,以及輕鬆打造井然有序的防護架構、安全的共享關鍵性資料,並建立成效卓越的端對端防禦系統、填補安全性漏洞。尤其各資安產品之間可互連動,自然能夠創造其他品牌不及的效益。例如在資安事件預防部分,透過IBM BigFix執行端點資料蒐集,可檢查是否有員工誤觸釣魚網站,誘惑是否有惡意程式入侵。至於內部惡意程式偵測方面,IBM QRadar能將企業的資產與風險視覺化,同時具備即時的偵測能力,快速發現正在發生的威脅,及時回應並執行。 另外,在資安事件回應方面,IBM Resilient 以安全事件為導向,自動化對流程進行監控,幫助企業快速進行緊急回應。
結語
因此,面對瞬息萬變的攻擊威脅,企業如果要達到有效保護保護商業機密、客戶個資等多重目標,或許企業可以從建構具備預防、偵測、回應等三大機制的資安防護架構,進一步啟動思考、著手調整、實做、修正再實做,步步規劃出企業自身最適切的資安防護計畫藍圖。
相關文章請造訪 <[資安小錦囊]內部威脅 您清楚了嗎? >