血的教訓(下) 國內重大資安事件十大啟示

2017 / 10 / 11

侍家驊

上集文章分享了五個啟示:資產風險評估應以資訊流為依據、現有資訊基礎架構，擋不住網際威脅、網路縱深防禦不足、無法掌握所掌管的資訊環境、小心謹慎使用特權帳號，接下來我們將持續分想另外五個啟示。

啟示六、空有ISMS系統，未切實落實
通過資訊安全管理系統 ISMS(Information Security Management System)的單位，最常見的就是管理與實際執行有落差。稽核來了，只要四階文件準備好，大家都沒事。但實務上，未必都切實如文件般的落實。例如有個案例，規劃了一個測試區可以連OA區，當時只開放三天滿足測試需求，但直到系統上線之後仍沒有取消這個連線。另外一個案例，機房通過ISMS，五年來policy沒進行過任何修正，這又如何能面對現今快速變化的網路威脅呢?

ISMS的精神是預防，避免資安事件的發生，企業會將大部分資源投入預防及偵測。但面對新型態威脅除了預防偵測外，還需有偵測機制、事件應變處理(response)、系統回復(recovery)，進而再反饋修正防禦策略。企業主關注的是開門做生意，重視系統可用性，但是一旦系統安全性沒有優先考量，其可用性一樣也搖搖欲墜。

啟示七、人員資安認知程度不足，對資安工作支持度低
政府一般人員的資安認知，經過長時間的訓練與要求，普遍上比起金融業、高科技業要好一些。高科技業的研發人員，較難要求與配合，認為IT相關技術我都懂，不需管東管西，造成不方便，甚至自己找方式迴避被管，即使出事了，第三方服務公司也很困難獲得應有的協助。然而，金融業則是職責分工太細，跨部門溝通困難，對於訂定任何政策，只要違背既有習慣與流程，常常表現出的態度就是抗拒。

啟示八、資源投入不足、資安決策層級太低
金融業有金管會要求、有相關標準要遵循，通常費用上較願意投入。相對來說，政府及高科技，投入資源就遠遠不足。預算不足更不必談縱深防禦、難買應該有的服務。在高科技領域，常常就是一位科長、課長負責，層級太低就很難爭取資源預算、無法直接與決策層對話、無法跨部門推動政策及規範。

前幾項問題的根結，源自資源不足，人力不足導致無法一一落實，該注意、該遵循的動作；經費不足就無法部署有效的防禦機制。同時，沒有高層的支持，資安政策也無法推動。

啟示九、管理者、資訊、資安人員，對網路威脅認知落後
目前管理層普遍對網際威脅無感，除此之外，即使是IT或資安人員對網路威脅認知仍舊不足，還認為有防火牆, IPS就可擋，以為有SPAM filter就可擋APT mail攻擊。對威脅體認不足，當然就不會認真對待。

啟示十、無事件處理計畫，事件發生時不知所措
金融業因為被主管機關要求，雖然有營運持續管理（Business Continuity Management）演練，但網路攻擊方面大多未演練過。面對網際威脅，如果沒有事先準備基本應對計畫，一但出事，誰來當總協調人?哪些系統要馬上保住、馬上止血? 該找哪家資安公司來協助? 如果這些都沒有事先設想好，萬一事件一發生，勢必又急又亂，損害只會更加擴大。

這牽涉到花費多長時間解決，是三天、一周、三周、還是更久，時間越長傷害越大。事件處理應該企業自己來主導，因為最快、最容易掌握跨部門溝通、最了解實際業務需求及關鍵處。企業建立基礎能量，更專業的部分則可以委託專業廠商的服務。

結語
發生資安事件，通常都不是單一原因，而是多方原因都出錯。任何組織無論在技術、管理、人員，只要有缺陷，早晚都會被攻入。面對網際威脅，那是與駭客比速度。駭客的每個攻擊步驟，跨網域、跨電腦都需要時間，越早發現問題，就可以爭取時效延緩入侵程度，越早發現就能越早阻絕。

面對現今險峻的網際威脅，企業及組織只有一個選項 - 『何時被攻破? 』。新的認知將是，我們多快可察覺異常? 多快解決問題、馬上止血? 多快能改善現有環境? 持續改善防禦的動能有多高?

以往我們一直強調的重點: 老闆要更重視安全且將資安治理視為職責、有專職人員看資安管理、看技術、稽核人員專職素養的加強、抗拒資安政策相關人員資安認知的提升、以及培養外部專業資安技術團隊。

這項變革的層面太寬廣，需要主管機關、企業主或單位主管、資訊人員、資安人員、資安服務業，大家一起努力。這很難，但只要我們願意踏出第一步，就有改變的希望!

閱讀：血的教訓(上) 國內重大資安事件十大啟示，五個啟示

網際威脅