科技專欄

萬物聯網時代,資安就是風險管理。企業資安專家觀點。

news

專業從事資安服務逾十數年的數聯資安總經理李明憲,觀察並樂見到企業逐漸改採風險管理的角度,來審視資安投資的效益。同時,他也建議企業應當確認營運資產的保護優先性,拉高資安管理的位階層級,並借重有實務典範的專業團隊之力,為營運資產做最大防護。


數聯資安總經理

「凡有連網,有資訊存留,就需要安全防護。資安,無所不在,無所不防。」數聯資安總經理李明憲分享他對國內資安的現況觀察,並提出務實的建議。

創立於2004年的數聯資安,為遠傳電信旗下的資安專業服務公司。曾率先成立台灣第一座資訊安全監控中心(SOC),是國內數一數二的全方位專業資安服務業者──自IT底層網路資安防護、中層應用系統防護,至高層資安整合與專業顧問服務,一應俱全。

數聯資安策略圖

全方位資安防護策略,盡在數聯資安

以風險管理看待,資安轉守為攻

企業並非缺乏資安意識,而是沒有迫在眼前的危機感,影響投資行動偏少。例如CIO雜誌2016年的行業別調查顯示,資安投資比重最高的金融業也僅達22.5%,政府機構和製造業的投資率意外偏低。

李明憲指出,「資安沒辦法替企業創造營收,是一個投資弱勢的先天原因。企業往往會優先投資在與日常營運攸關的系統問題,而擱置看似沒有立即危險的資安課題。」不過,有些法規要求的行業,就有不同的投資考量,例如,金管會對金融業實施的資安監管檢查,行政院資通安全處對公部門實施的網路安全分級機制和法規遵循等。

然而,在網際網路做生意,改變這個守舊的態勢;萬物聯網時代,更是沒有一個產業離得開網路。而透過網路做的生意越多,安全威脅的攻擊機率自然越大。例如,某些高科技製造業的供應鏈透過網路做生意,曾發生駭客攻擊,導致供應鏈交易停擺的案例。

另一方面,因為有利可圖,駭客也朝向產業化發展,消費者刷個信用卡,個資就外流,而且個資還可一賣再賣。「於是,資安逐漸擺脫無法創造營收的刻板印象,企業務實地從風險管理角度,來審視對資安的投資。」李明憲點出轉變的關鍵點。

資安投資在哪,取決資產優先性

企業評估資安的第一步,李明憲建議先為自家資產,列出風險等級和發生概率的對照表,設立保護的優先次序。有些資產攻擊風險高,但發生機率低,有些則相反。當企業對各資產的風險有了譜,就能決定資安投資的優先性。

例如,電子商務業的交易網站是重點資產,駭客攻擊讓交易停擺,就是實質損失;商譽重創,還會進一步流失客戶,損害是多重層面的。而高科技製造業看重的則是跟生產與智慧財產相關的IP資料庫和供應鏈系統。

至於資安投資比例的適切性,李明憲指出於資安預算分配比率仍過低的問題,例如:臺北市資訊局長李維斌揭地方政府資安困境 ,以管理臺北市資訊局的經驗,歸納出他碰上的資安挑戰,預算限制便是其一,資安防備僅占臺北市IT預算的2%,每個臺北市民的資安防護不到20元。從業界實務經驗來看,資安投資比例佔該單位IT 預算的4~6%是相對較為合適的比例,但仍須因產業是否易受資安威脅而有不同配置,如政府、金融、電信、電商等產業,則應投入更高的預算比例。

資安長拉高層級,關照層面求周全

資安有另一個議題,究竟統管組織資安的層級該到那裡?真的需要找個資安長嗎?李明憲提到,公部門明訂的八大基礎行業,政府機關的「副首長」要擔綱資安長的角色。

「拉高資安管理者的位階,有其必要性。」李明憲指出,「傳統把這件事交付給IT人員,往往會只看到跟IT工作相關的層面,容易產生盲點。而由高階管理人來統管資安,關照層面相對較廣也周全,在考量安全和使用便利的兩難之間,上位者的支持很關鍵,也能彰顯公司對資安的重視決心。」

舉例來說,像某些高科技製造業基於資安理由,只允許員工在廠區使用公司特製化手機,不准拍照攝影,或是某金融業者要求員工上班時,要集中保管手機,限制上網。這些措施再再考驗資安政策如何兼顧員工使用資訊的便利性,倘若缺乏經營層的支持,斷然不可行。

SOC一個月,監控攻擊百億次

資安的攻擊威脅很嚴重,但實況為何呢?「一個月,高達百億次。」數聯的資訊安全監控中心(SOC)全天候偵測,累積出這個驚人數字。

李明憲進一步提出,企業基本的資安檢視流程。「一開始先做全面健檢,看看既有環境的資安防護能力在什麼等級?接著要做弱點掃描,搭配白帽駭客滲透測試補強。」健檢後做評估,擬定計劃,行動執行,定期檢視,修正補強。這套流程也是一種循環,資安不是一次性,而要視行業特性,在關鍵點增大安檢強度。

例如,金融業或電子商務業者,有7*24小時服務不中斷的需求,弱點掃描幾乎要常時運作,而不是幾個月才做一次的頻率。另外像是DDoS的攻擊型態,也從單次攻擊演變為不定期的長期狙擊模式,而進階式持續性滲透或長期潛伏形式更是目前資安防護的大敵,各產業都需要隨時與時俱進,調整安全預防和應變措施。

另一方面,物聯網的資安隱憂,常常因為連網的裝置數量龐大,災情影響的範圍也相對擴散。這種赤裸裸的安全威脅代表作,要數網路攝影機廠商的帳密被破解,全球幾萬支攝影機的攝錄畫面,活生生在網路直播。另一起新案例是,美國某大學日前發覺校園內網路速度因不明原因變慢,結果發現竟是學校的域名伺服器(DNS)遭受DDoS攻擊,而攻擊來源,則是校園內的連網的路燈、自動販賣機,造成嚴重的校園安全危機。

強倚重專業團隊,活用實務典範

對企業來說,不斷更新強化自身的安全防護力並非易事,而借重外部的資安服務業者又有信任的遲疑。

「我們觀察這是文化風氣的問題。國外企業比較會主動找非惡意的駭客,來測試自家資訊環境的防護性,有漏洞遭攻擊後,就趕快修補完善。」李明憲指出,台灣企業相對就採取守勢,儘量保持低調,不想引人矚目。這麼一來,資安做得好的公司,很多想法與做法就不易交流,也少了帶頭作用。

「不過,這也是數聯做資安服務的優勢。我們從事這一行十多年了,在許多產業都服務過很多客戶,從中累積重要的domain know-how,也形成一套寶貴的實務典範,跟客戶提議討論時,能夠直接切中問題,端出解決方案。」李明憲直言,數聯長年培養出的專業團隊,經手過各種資安的疑難雜症,也持續鑽研防護技術,是企業可以放心倚重的資安服務夥伴。