当前位置: > >【资安周报第64期】唯有人员、流程和技术三项彻底到位,资安才是

【资安周报第64期】唯有人员、流程和技术三项彻底到位,资安才是

03-18,IT资讯【资安周报第64期】唯有人员、流程和技术三项彻底到位,资安才是最新消息报导,口袋科技网(http://www.kotoo.com)IT资讯
图片来源: 

iThome

资安很重要,对许多企业资安人员和主管而言,到底应该要怎么做才能真正做好资安,一直是非常困扰的事情。但是,对于富邦金控副总经理李相臣、星展银行金融犯罪防治调查暨企业安全部资深副总裁徐子文,以及联发科IT本部协理刘锡麟而言,「资安要做好,就一定要玩真的。」

iThome电脑报日前举办第三届台湾资安大会,也加开一场针对台湾资讯和资安主管的封闭式「台湾资安大会CISO论坛」,邀请李相臣、徐子文和刘锡麟到场座谈。面对越来越複杂的网路攻击,越来越严格的法规遵循要求,甚至越来越难做到的资安防御,企业或政府的资安人员也越来越不知道,到底应该怎么做,才能够真正把资安这件事情做好。

不论是富邦金控、星展银行甚至是联发科这三间公司,彼此之间的产业型态、规模甚至是营运模式,或许都有所差异,但要做好资安的背后,三家企业其实都有共通的準则,那就是,务必要落实所有对于人员(People)、流程(Process)和技术(Technology)的资安规定,就是资安玩真的证明。

这对很多资安人员虽然都是老生常谈,但是,做好资安的秘诀无他,只要可以真正的落实资安政策和作为,企业都能严正看待资安这件事情,就是企业能够做好资安的关键。

人员:态度要积极,千万不能怠惰

企业到底能把资安做到多好的关键,李相臣认为,资安人员的态度是非常重要的参考指标,只有资安人员够重视、够在乎,他们才愿意主动去了解现在到底有哪些资安威胁,主动掌握资安趋势,甚至于愿意主动学习各种相关的技能。「企业如果没有在意资安的资安人员,侈言资安对企业到底有多重要。」他说,车子开久会有毛病要保养,系统软硬体用久也得做修补,没有滴水不漏的资安防护,因此,资安人员态度也决定企业怎么看待,大到资安政策落实,小到系统漏洞修补的执行程度。

除了有态度,刘锡麟认为,资安人员所展现的工作效率也很重要。他也坦言,联发科每天要收集的Log种类就超过一千种以上,从早上上班到远端连线,甚至是出差等等,每一个环境都要留存不同的Log。

除了要设法利用系统取代IT人员看Log外,他表示,企业更大的挑战在于,资安人员经手的每一件事情是否做到确实?是否有所怠惰?毕竟,资安人员的一个疏漏,都可能造成公司智慧财产权外洩或影响公司营运,资安人员在执行每一个环节和流程,是否可以真正掌握工作细节就很重要。

「企业对资安人员的要求必须更严格,不要让无法负责、怠惰型态的资安人员在资安团队里面。」刘锡麟说,每一个资安细节一定要检视,如果过了一个月后才发现很多细节疏漏,中间空窗期可能会出现很多资安事件,也因此,资安人员不能自满,因为对细节的要求永远都不够。

台湾人工作努力也很聪明,但是「管理」一直都落于人后,以星展银行而言,徐子文表示,新加坡9成是华人,他们可以做好资安就是因为「玩真的」,规定其实和其他公司都一样,但是却可以因为公司的超级业务违反公司的资安準则,狠下心直接开除就是证明。

他也认为,负责安全的主管也必须非常有耐性,要能够不厌其烦的把公司的资安政策和作法,一而再、再而三的重複讲清楚,只要是重要的事情,不管是30次还是300次都要说,并且对于对的事情要一以贯之,讲久大家才会当真。就像在军舰上的指挥官一样,唯一的武器就是麦克风,相信每个人会把自己的分内事情做好,他就负责下达「正确的指令」,这就是资安主管的责任。

流程:从每起资安事件学习资安因应流程

刘锡麟认为,台湾企业很幸运,有很多专业的资安公司可以引进欧美日韩等最新的资安技术和标準,让各个公司在资安、风险、政策、控管和系统建置上,都有基本的运作水準,但是,联发科更在意的其实就是如何在流程上彻底落实,避免一个疏忽、一个缓慢,就会产生资安风险。

他进一步解释,联发科一年有15~25个研发晶片开发,由坐落在英国、芬兰、印度、新加坡、美国和中国等全球27个研发中心合作开发完成,并可以顺利将测试完毕的产品回传台湾,在这个研发流程如果有任何风险,就会严重影响公司营运。

所以,联发科在每一座研发中心都是先定义出不同层级的风险,不论是资料交换或者是软硬体产品的验证等,每一个流程都必须经过严格的授权程序才能执行,而每一个定义出来的流程,就会搭配适当的管控机制和Log蒐集。

刘锡麟表示,当公司知道风险在哪里,知道有哪些控制项目时,落实每一个流程控管就是企业落实资安的管控措施。不过,他也提醒,企业经常面临流程调整,每个企业至少6个月就应该要因应流程的调整,重新检视控制项目和细节是否有随之调整的必要性。

因为没有百分之百的资安防御措施,不论怎么防,都还是会有风险产生,也可能发生资安事件。所以,徐子文指出,好的资安控管流程不是只有具备防御能力,更重要的是,要有解决并处理资安事件的能力。

像是主管机关往往会惩罚主动揭露资安事件的业者,甚至认为一年都没有爆发任何一起资安事件的企业才是模範企业,徐子文就认为,主管机关不应该处罚有能力发现问题的企业和资安人员,更重要的是,是否可以从这个资安事件的流程中,学习到事情怎么发生,并且知道事情该怎么解决。

他说:「如果企业可以从发生的这起资安事件,学习到攻击手法并且知道如何因应解决之道,所有付出的成本就不会是浪费,就会是企业提升资安应变能力的学费。」而对星展银行而言,因为有一个独立的调查单位,就可以想尽各种方式起诉捉到的坏人。

徐子文表示,企业尽可能提供所有可以找到的犯罪资讯,提供给检警调等具有公权力的单位侦办,因为抓到坏人就是恶意各种网路犯罪最好的工具,而搭配起诉的手段,就可以进一步从检警调单位中,了解并掌握真实的犯罪手法,就可以进一步可以回馈到企业内部的防範流程。他认为,这样的流程就会成为一个正向循环,对企业资安也有正面帮助。

技术:大胆设黑名单,防範不必要的资安威胁

从网路犯罪观点来看,李相臣表示,最早的资安事件只是电脑病毒破坏电脑程式或磁碟,到后来有木马程式偷资料,或者是骇客利用DDoS攻击手法瘫痪网路服务,近期热门的则是会加密使用者电脑的勒索软体。这些网路犯罪技术都显而易见,但他认为,最麻烦的就是骇客入侵系统却只偷一笔或特定人的资料,这种针对性攻击的手法,往往很难被发现。

因此,要如何有效的防範这些资安事件,李相臣认为,重点在于要让「坏人进得来、出不去。」也就是说,当骇客入侵企业内部时,必须透过各种纵深防御的方式,阻断骇客由内而外的通讯联繫,也因此,他也特别关注内部员工所使用的电脑安全,并且要减少员工不安全的上网行为,提高企业的网路和电脑的安全性。他也建议,因为许多垃圾邮件隐含很多珍贵资讯,企业资安人员其实可以在第一层,就侦测到有哪些病毒、锁定哪些目标,提早预警。再者,李相臣建议,企业应该要留意有哪些心怀不轨的骇客和手法,如果有人不停的扫描自家企业的IP时,「大胆设黑名单」也是一种好的资安因应策略。

刘锡麟则以自身经验建议,企业建置的系统一定要定期强化,可以适时引进外部的专家协助企业补强系统安全性,6个月一次的强化检视措施,都有助于企业维持一定的资安技术强度。

声明:

·凡注明为其他媒体来源的信息,均为转载自其他媒体,转载并不代表本网赞同其观点,也不代表本网对其真实性负责。如系原创文章,转载请注明出处。

·您若对该稿件内容有任何疑问或质疑,请即联系,本网将迅速给您回应并做处理。

邮箱:mail@kotoo.com

+1 已赞
已有8人赞过
上一篇:没有了 下一篇:没有了
评论13

发表评论请 登录
  • 最新
  • 最热
评论举报

请选择举报理由

17 13

已收藏
去我的收藏夹 >

已取消收藏
去我的收藏夹 >