WAF

二個重點讓企業用合理費用建置符合成本效益的資安防護

在台灣,企業組成結構中有 97% 為中小企業,由於駭客手法與資安防護科技不斷地更新發展,許多企業在考量資安防護的服務採購及廠商錄用時,往往迷失在尋求解決方案的盲目邏輯當中,大多企業會建立一套Action Plan、針對企業的某些系統服務或整體網路傳輸端口來採購不同等級防火牆、硬體設備或委由第三方單位做防護及掃描測試,但更多企業因為疏於事前系統化的盤點企業風險,因此容易在不清楚自己的弱點在哪裡、哪些弱點風險高最需要先被修補、被保護的狀態下,浪費了許多尋找資安防護的時間與人力成本,甚至採用了本身不適合的資安防護,而企業要如何在各種盤點困難的情況下,還能先初步以合理費用建置符合成本效益的基礎資安防護機制?本篇從二個重點「資料傳輸」與「網站程式本體」來剖析如何思考及規劃企業資安防護。

段落大綱:

  • 「資料傳輸」與「網站程式本體」指的是?
  • 由內向外,定義基礎資安防護五個層面
  • 企業資安盤點需要囊括的範圍
  • 資安防護最重要的後盾

「資料傳輸」與「網站程式本體」指的是?

「資料傳輸」與「網站程式本體」的資安防護,指的是技術工程界常說的「網路安全防護」及「終端系統防護」,也就是說,整個資安防護在技術層面上,能大致先劃分這兩大方向,我們從這兩點來剖析,也是為了讓技術工程相關職業之外的人員,也能更容易從淺顯易懂的兩個詞開始,對「資訊安全」的防護概念,建立一套清楚的思考脈絡。

從「資料傳輸」與「網站程式本體」出發,由內向外定義基礎資安防護五個階層

根據工研院 2018 的調查,國內企業基礎資安防護的建置率已經達到 89% 左右,而網路安全及終端系統安全的掃描檢測也達到 66% 左右,可以見得國內企業在「資料傳輸」與「網站程式本體」的基礎資安防護已經了解到單純依賴設備或防護軟體是不夠的,還必須進一步定期進行掃描檢測及修補,對於尚未開始或還有些迷惘的企業來說,基礎資安防護與掃描檢測該從哪些項目開始?本篇不談艱深的網路 Layer 1 ~ Layer 7,我們將「資料傳輸」與「網站程式本體」由內向外分為五個階層來說明,第一層至第四層從最接近企業這端的網站、系統主機及企業資料,向外延伸至第五層最接近網站使用者及使用者資料傳輸的一端,再由這五個階層向下剖析應該進行資安防護及掃描檢測與修補的項目,由內向外分別是:

WAF

第一階層 – 如:網站或企業系統之伺服器、頻寬線路、IP

要讓網站及系統可以維持穩定快速順暢地運行,資安的防護就需考慮先分散大量連線之垃圾流量或癱瘓式攻擊(EX:DDoS),讓大部分的惡意流量無法佔滿您的頻寬,亦無法透過您的 IP 或 URL 直接接觸到您網站或系統所在的伺服器。 資安防護選項:CDN 內容傳遞網絡、DDoS Mitigation 阻斷服務攻擊緩解

第二階層 – 如:網站內容、系統程式及企業資料之伺服器

這些資料內容與程式通常是一家公司珍貴的數位資產,想保護這些數位資產不對外洩漏,除了人員存取權限分層控管以及保護帳密的資安宣導教育以外,在網路及系統端,必須有效的比對全球資安資料庫內已有的惡意攻擊手法及來源,識別出惡意身分,阻擋其透過前端的網站或系統植入惡意程式或尋找漏洞來竊取系統權限,而後進入系統竊取資料對企業進行威脅或直接造成企業的損失。 資安防護選項:Firewall 防火牆、IDs 入侵偵測系統、IPs 入侵防禦系統

第三階層 – 如:個資、交易資料、線上合約

針對有受法規管制、更機密之資料給予保護,最佳做法能採系統人工同步偵測、紀錄、分析及學習日新月異之惡意來源及行為,事先進行漏洞修補與防禦,降低被竊取的風險;另一方面在發生風險時,能維持服務穩定、快速恢復營運,並將這些防護行為作為呈堂供證,企業舉證之責,降低罰則等…企業可能之損失成本。 資安防護選項:M-WAF 管理型網站應用程式防火牆、加密備份

第四階層 – 如:品牌網站、重要網頁

品牌網站及重要網頁對於注重商譽的企業以及從事電商在網站上提供產品及價格予消費者訂購的業者,是關乎企業生存與否的關鍵項目,防止品牌網站或網頁上的產品及價格被惡意竄改,是保障網站品牌信賴度並降低詐騙客訴機率的重要資安防護目標,必須要能即時的偵測網站前端程式是否被植入惡意程式或釣魚連結,即時發出監控告警及安全修補建議,才能大幅降低商譽或銷售的損失以及被客訴詐騙時所衍生的客服人力成本。 資安防護選項:HackerScan 網頁掛馬入侵偵測

第五階層 – 如:會員系統登入頁面、資料傳輸頁面

將資料傳輸的通道進行加密,除了對網站使用者負責任,提高資料傳輸當中被解密竊取的可能,一個安全的網頁更能提高網站 SEO 及消費者與網頁的互動意願,能有效增加曝光及營收,應採用國際品牌或確實安全可信任的數位加密憑證來確保消費者於網站輸入資料時被加密保護,因為一家安全可靠的憑證廠商,會以國際級的標準進行嚴密核實公司的真實合法身分,再行核發憑證。 資安防護選項:SSL 數位憑證

企業資安盤點需要囊括的範圍

除了前面段落提到的資安防護措施,無論硬體軟體或 SaaS 模式,都屬於技術工程方面的防護手段,但事實上,技術不能達成的,是人的控管,企業每一位員工皆應需要有資安防護的觀念,因此,企業資安盤點不僅是檢視網站、系統、程式是否寫得夠嚴謹、防護是否有做到,而是應將資訊安全設立的規則、龐雜的人力組織、人員的權限控管等皆納入盤點項目,並制定定一套 Action Plan,定期不斷的重新盤點、調整計畫、測試修補再測試,作為資安防護建置的標準流程。(可參考:資安管理與防範駭客這件事,企業應如何看待? – DEVCORE 翁浩正專訪

資安防護最重要的後盾

若企業已規劃好資安防護建置的標準流程,甚至已在進行,千萬不能忘記的是,僅採取單一廠商、單一的資安防護服務是不夠的,企業更不能單打獨鬥想要抵禦駭客入侵,企業真正需要的是能夠一同並肩作戰的夥伴,該夥伴應具備的是優良的企業體質、長久可靠的品牌商譽以及足夠能量的多元產品及擁有豐富技術經驗的真人團隊,若該夥伴能匯集國際的服務與技術團隊來提供全年無休的團隊式服務,是對台灣企業更大的保障,全球每年有超過1,400個網站被駭客攻擊,台灣在 2017 年更因資安攻擊事件早成 8100 億的經濟損失,台灣企業應該在惡意網路行為衝擊您的事業之前,就即時辨別出它們並事先做好防禦,將企業風險及損失降至最低,讓企業能更安穩的永續營運。

發表迴響