打破台湾企业资安认知落差!思科台湾总经理陈志惟总结三大关键概

打破台湾企业资安认知落差!思科台湾总经理陈志惟总结三大关键概

物联网、AI、云端应用愈来愈普及,导致企业的资安破口更多、防护也更困难。根据思科 Cisco 统计,一旦遭受攻击而受创,过半企业的损失都超过 50 万美元(1500 万台币)。全球最先进的科技公司,都已设置独立的资安团队及预警措施,来因应日新月异的网路攻击。国内法令也要求资产一兆元以上的金控公司必须设置独立的资讯长,不得兼任。但骇客攻击对象不分大小,台湾企业管理者是否足够重视这种「潜在风险」?

这年头资安人员挑战多,每分每秒都得面对随时在变的资安风险打破台湾企业资安认知落差!思科台湾总经理陈志惟总结三大关键概

骇客攻击手法不断翻新,很大程度与 AI 技术及物联网普及等发展趋势有关。例如从最早的钓鱼网站,到后来的 DDoS 攻击,以致于近两年的 WannaCry 勒索软体;过去可能须要人工点选才会诱发病毒感染,但如今,骇客是利用系统漏洞进入企业环境,病毒蛰伏并学习,一旦找出企业内部机器对机器的连繫模式,就发动大规模攻击。

这对企业最大的挑战是,资安人员必须跟时间赛跑,因为机器对机器的感染速度更快,如何快速找出原因,加以隔离并防範。

另一方面,物联网普及后,更多终端设备连线,每一个端点都可能是感染源。尤其愈来愈多人使用行动装置,企业允许员工或外部伙伴透过手持装置登入系统,更增加了骇客入侵的通道;「你会发现,骇客会在某些装置与装置的沟通过程中,自动设定感染方式;企业如果没有从上到下的全面防护,等于漏洞无所不在。」

面对这些新科技带来的安全威胁,企业该怎幺出招?思科台湾总经理陈志惟表示,最重要的三大关键是化被动为主动、加强人员培训、并且在架构资讯系统之初,就要考虑资安。

台湾企业检核资安重要标準:你的软硬体架构是否好几年才更新一次?

「每一个企业都自认已做了资安防範,但其实只是单点而已。」陈志惟分析,在快速变迁的新环境下,企业需要的是由上而下、从里到外的主动架构,而且不止防护,也要将自动化、简化的方式导入资安系统,并且随时动态更新。企业的环境是动态、IT 应用也是动态,更重要的是,骇客的攻击永远是主动、随机、无预警、甚至病毒版本週週翻新;「如果你的资安防护是静态,今年做了三年后才检讨,就会永远在骇客背后追赶。」

沟通一个关键概念:攻击病毒的威胁性是逐步试错、累积出来的

思科 Talos 国际威胁情资团队,提供预警式的防範,24 小时不间断收集全球病毒攻击威胁,并监看潜在风险;经常在威胁发展的初期,就送出资讯给客户,宛如电影《关键报告》中的先知感应。

他表示,目前许多高科技公司,已意识到资安的严重性,因此在资讯部门之外,独立成立资安团队,另外还有预警人员的编制。例如几家大厂已设立 Threat-Hunt Center 威胁预警中心,专门负责把病毒、骇客及潜在风险揪出来;「这是很先进的作法,已经属于主动防御而非被动防範。」

可惜并非所有企业都有像世界大厂的庞大资源和预算,思科的建议是釐清企业资安资源与需求,「我们的方式是先跟企业高层坐下来谈,了解资安的规划和想法;接着与各部门利害关係人逐一访谈,了解资安缺口有哪些,日常运作的需求是什幺,如何在资安与营运两者间取得平衡。」思科也会派遣顾问及人力在企业内部,除了第一线的驻点人员,后端还有强大的资安中心提供协助。

打破台湾企业资安认知落差!思科台湾总经理陈志惟总结三大关键概资安人才全球都缺 ,台湾要培养专才请有花 5 年以上的心理準备

其次是人才培育的问题。思科指出,不止台湾,全球都缺乏资安人才,而且从头培养是五年以上的功夫,例如思科网路学院 Cisco Networking Academy 就正与国内学界合作,将资安课程深化到大专院校甚至高中职。「相信透过这样的深化,未来五年企业主找资安人才会更容易,不必再从零培养。」

但在此之前,面对资安人才的缺口,企业必须考虑向外寻求解方,找寻可靠的国际品牌来共同建构符合本身需求的资安架构。

製造业要保护商业机密,首重上下游资讯管理

不同产业的资安防护,陈志惟认为,在架构上大体相同,只是强调的重点有一些差异。以製造业来说,台湾最强的就是 ODM/OEM 代工,而且不限于高科技,传产的鞋业、机械也很强。代工最重视的是保护客户资料不外流,例如新产品未上市前,设计图不可外流、新的应用不能被剽窃、研发中的技术也不能被得知,保护自己也保护客户,以免失去商机并重挫商誉。

陈志惟说,思科协助不少製造业做了端点(end-point)防护,谁能取得资料、人员的资安等级、资料被哪些人存取等等,也就是製造业非常强调集团内部从上到下的存取权限及保护措施,「绝对不是买了资安产品或服务就好,而要让资安成为企业体内的全民运动。」

金融业入侵破口多,金融业者如何无痛更新资安成为最大挑战

金管会去年要求资产在一兆元以上的金控公司,必须设置独立的资讯长,且不得兼任;而资讯长要做的事,不只是法遵合规,还要预警式防护,避免资安漏动造成客户财产损失。这是因为,金融业的资料高度敏感,拥有客户基本资料、资产状态,还有分行体系、网路银行及广布的 ATM 站点。「这意味着金融业的人侵破口多,如若有人假冒身份,在异地存取,业者第一时间就要侦测并防护。」

陈志惟说,不少金控业者已与思科合作,包括资安环境设定、防护措施、人员培训、以及从高层到柜员的完整培训及作业流程,整套解决方案才能防堵攻击。若从法令面来看,思科认为,台湾的资安法令在先进国家中已走得很前面,只是后续的执行要更落实、有延续性、且随时调整。

思科强调,金融业最大的特性是,不止企业环境内的入侵破口多,外部使用者也多,存户和用户直接进入网路银行时,都会发生潜在威胁,因此把这些外部使用者当做内部人来教育,也是很重要的一件事。

过去金融业并不重视资安系统的更新,因为每一次系统停机,都要回报金控总部及主管机关;这其实很矛盾。「银行只要有一块钱的帐对不上,大家就不能下班,但很多时候却因为一点点系统停机的不便,而忽略了小型的资安威胁,让它无形中坐大。」陈志惟说,思科 Talos 在病毒还小的时候,就会先预警告诉客户,让客户及早作出应对準备。

停机「岁修」是为了更好的明天

「身为资安人,每次看到银行公告週末或午夜系统停机三小时,我觉得很开心,这代表这家企业重视存户,把客户资产看得很紧。」陈志惟说,反观有些金融业,抱着「别人发生的事没有发生在我身上」的侥倖心态,忽略了防範,后果往往十分危险。这是因为资安软体的版本若累积数代没有更新,就要花更多时间来停机补强,因此思科很鼓励金融业效法製造业的「岁修」,定期停机来更新资安版本,虽对存户造成些许不便,但为了更好的明天值得投入。

持续动态式检讨,是最好的资安防护

思科表示,每个企业对资安要投入多少资源,想法和条件都不一样,但必须建立的观念是,「持续动态式的检讨并改进,才是最好的资安防护。」陈志惟说,资安软硬体并非第一年建构完成就算数,每一年还要针对硬体维护、软体更新、人员训练等持续检讨并投入资源。「资安防护没有最好,只有更好;因为骇客不会跟你签约,今天攻击你,明天就放过你。」当骇客不断演进时,企业也要与时俱进。

 延伸阅读

2018 年思科网路安全报告:防毒「穷补漏洞」才是资安危机
踏入资安界懒人包!从重要关键字到在地社群,刷过一轮才能跨过入门砖

上一篇:
下一篇: