這次的專訪,目的就是為了能抓出脈絡,讓台灣企業深入理解在面對資安問題時,如何擬定資安管理策略的心法,本篇從專訪中,提煉出菁華,並將其清楚細說於此,明確地讓企業用更加明亮的眼界與心態,來建立正確的企業資安管理思維。(專訪內容:資安管理與防範駭客這件事,企業應如何看待? – DEVCORE 翁浩正專訪)
1. 軟硬體、雲端工具及真人團隊共存的效益? 目前雲端的資安工具已經可以完全取代設備了嗎?
Allen:雲端的資安工具還是不能完全取代軟硬體設備,原因不是因為防禦的能力,是吞吐量,而吞吐量會影響反應的速度,若是有營收或投放大量廣告的主網,消費者感受到的速度快慢,差之毫秒對收入都有程度不一的影響,但若網站流量不大,用雲端工具當然也是無妨的!所以當客戶詢問指定的雲端服務時,我們一定會問「為什麼」!除了要先確定自身的需求與目的再去尋找適合的解法外,採用該解法也總要了解使用之後對自己的衝擊會有哪些?有哪些影響?提早做好對應的準備措施。這也是為什麼資安需要軟硬體、雲端工具及真人團隊同時共存的原因,許多資安事件是出自於人為邏輯性的行為,才造成資料外洩或漏洞被攻擊,因此駭客攻擊絕對不是軟硬體、雲端工具或真人團隊單一方就能抵擋的。
2. 有的企業在盤點上耗費很多時間? 是否一開始就該委託專業,讓時間人力等成本更有效的被利用?
Allen:企業盤點必須從裡外來看,耗費很多時間代表的可能是資產過多、太久沒有盤點、太複雜沒有系統化盤點等…,因此,從裡面的角度與外面的角度來看有不一樣的情況,以風險評估來說,企業內部一定會知道一些東西是外部不知道的,假設內部會知道自己某一群系統或某一群人的風險程度是高的,這是外部不會知道的,以稽核面來說,例如 ISO 27001 會以抽樣的方式去檢測風險,並評定這個風險高低合理或不合理,但對於企業本身來說,哪些風險對你來說是特別高的,是企業自己定的,外部團隊不會知道這些事,總歸來看,外部的團隊來做這種檢測都是黑箱的方式,他不會百分之百的了解企業內部的問題在哪邊,對企業內部的掌握度還是企業自己比較高,而技術就可以靠外部專業團隊來補強,因此相輔相成是最好的模式,企業內部一定要有一個 Action Plan、制定一個標準流程,無法一次盤點完的情況,就要分階段或分區塊來盤點,將每一次盤點到的東西再加回清單內,而委託外部專業團隊,就像紅隊演練,我們一定會有一套邏輯性的系統化盤點方式,並且針對每個不同產業會有哪些軟體,包含:新進人員、離職人員或有外部合作人員的進與出、硬體設備、該做權限及稽核的管控是否都有做、最常漏掉的地方,都有經驗的歸納,但外部仍然無法直接得知企業所有的資產,因此也要企業內部的配合,一同擬定長期固定的盤點機制,這雖然會是一個大工程,但是做得好,企業會更加踏實,因為自己對自己的每個部分都非常的清楚,當你真實的面對自己的時候,遇到問題,就能很快地知道要採取什麼樣的應變措施。
3. 盤點是一個大工程,如何開始第一步?
Allen:其實都是在於想不想做而已,雖然可能有許多老舊資料,覺得是一件相當龐雜並且可能需要動到全公司部門人員的事,但仍然要定出 Action Plan,長期持續一步一步的做,凡事先有第一步,一但開始做了,就是將清楚的流程與機制脈絡建立起來,並且納入 PDCA 的觀念,流程一旦建立,持續做也就不會那麼困難了,並且,要記住一件事,若覺得現在不重要就可以放著先不做,總有一天會出包,問題發生再來處理,要花費的成本會比盤點所花的時間還要來得貴很多。
4. 郵件的攻擊行為屬於近期最常見的,企業內部如何去注意或發現是不是已發生問題了?
Allen:其實這是有心法的,並不是所有信件開了都會有問題,這是有心法的,有分三大類是一定要注意的:
第一種是有釣魚聯結的信件,點了會出現輸入帳密的畫面,員工這時候如果真的輸入了,那麼攻擊者就得到了他的帳號密碼,所以一定要注意信件內含的聯結是不是正確的,首要就是要看 SSL 數位憑證及憑證內容與此網站及網站主的公司是不是相符合,再來就是看網址 URL 內含的英文是否與真實網站或真實公司的名稱相符合。
第二種是聯結的目的地網站本身有資安的弱點,導致員工點了該聯結之後,網站會偷取 cookie,偷了 cookie 之後,駭客就可以使用那個員工的身分,因此,是企業必須去確保他的網站或後台有沒有做好資安的防護,不要有容易被攻擊的資安漏洞,再來還有一個方法,就是員工點選信件聯結的瀏覽器跟連公司內部後台的瀏覽器是分開的,舉例來說:我收信、我點聯結,整個環境是高風險的,那麼就應該跟我登企業的瀏覽器分開不同兩個,因為如此一來,駭客也無法從我點外部聯結的瀏覽器釣到我登企業內部的 cookie,但這種方式較麻煩也比較難被注意到,因此較少人做到,但其實也能從企業 MIS 端直接去做這類的控管,如果有做這種切割的話,其實是超安全的,這個觀念一般人沒有。
第三種是惡意程式,也就是員工看到信件內的附加檔案,點開了之後電腦就中毒了,中毒之後電腦直接被控制,被控制之後電腦內的資料就有可能被偷,所以最簡單的是安裝防毒軟體,但依我們資安專家來看,防毒軟體只能防到一些已知的或比較簡單的惡意程式,但有裝還是能防止部份的資安風險,至於這問題要怎麼防護呢?就是企業全體員工應該要定期培養資安的常識,知道哪些附加檔案看起來是可疑的,就不要打開它,而企業對於內部的連線控管,也應該要做一些較嚴格的管制,例如員工一般辦公區的電腦,不應該打開就能連到企業內部或企業網站的資料庫,如果可以的話,這台電腦中毒了就能直接連到資料庫內去取得裡面的資料,若有做這樣的隔離控管,就能降低受害範圍,企業內部也應該對於流量做一些監控,例如凌晨或奇怪的時間是否有主機正在往中國或奇怪的地方傳輸大量的流量,如果有,就有可能是被駭、資料正在被偷的情況,如果有監控,也能留下紀錄,那麼企業就能針對這些紀錄更快速的去做一些處理。
所以現在一般企業都不太去要求預防,因為要百分之百的預防太難了,現在缺口太多,從網站、從員工、從整個供應鏈都有可能駭進去,甚至你公司買了一個 IP cam,這個 IP cam 被駭導致整個公司被駭也有可能,所以要求的反而不太是預防,而是快速的應對,我應該要知道我是否被駭了、哪裡被駭、需要採取什麼措施,大幅縮短應變的時間,要做到這樣,企業就要有監控、留 log,有人去看等等…。
5. 你說,有的企業對資安失去希望,通常是因為跟錯廠商,那麼對的廠商應該會怎麼做?
Allen:要先去觀察資安廠商本身的資安是否有做得完整?客觀的可以蒐集該廠商的口碑評價,看它是否曾經有資安疑慮或不誠實的行為;大多數廠商會提供的證明可能是 ISO 27001 及工程師的一些證照,但這些其實關鍵是在定期的內外部稽核到底有沒有真的紮實的做?是否有定期盤點、做檢測,以及是否具備有力的資安工程師或緊密的資安合作夥伴,若該廠商自己本身的基礎紮得夠穩,並且能跟企業分享自己的做法,也同時聽取企業的需求,以多種的防護措施給予建議,陪同企業擬定資安防禦的戰略,這樣的廠商是比較能信任的。
6. 各種資安服務該怎麼選擇?自己做?找人做?
Allen:其實現在很多工具非常容易取得,同上題,選擇一個工具之前,要先確認提供該工具的公司評價及口碑,以及是否有專業團隊能隨時提供你多重管道的規畫建議及支援,更重要的是要先捫心自問「為什麼」要找這樣的服務?是因為你已經先盤點清楚、明確定義風險值、確定防禦的先後順序了嗎?還是盲目地聽別人說很有效就決定去買?別人有效不代表對你的企業就也有效;另外也要考量剛剛訪談中談到的,選擇的防禦措施是否適合防禦的標的?若你的網站投放大量廣告、交易流量大,那防禦工具對網站吞吐量的支援及反應速度的影響也必須考量進去;通常自己找工具做或委託專業團隊做,關鍵還是企業是否有決心要擬定資安管理的策略,要長期持續的做盤點、檢測、改善及因應情況檢視並調整策略。
7. 如何對企業內部上下溝通,順利的擬定並執行資安戰略?
Allen:多聽、多學,累積資安知識與數據,是最有效的武器,在企業內部對上溝通,必須用錢、或用數據,以及同業的使用情況,企業決策者有的是比照型,有的是領頭羊,挑對決策者能理解的新聞事件、或工程師已經先擬定的資安管理腳本,來讓決策者明白現在花的管理成本,在未來能產生什麼樣的效益?避免多少的損害?這都是一種好的方式,畢竟國外有太多遭受攻擊後損失慘重的例子,企業決策者都不會希望自己有一天邁上這一步;至於平行或對下溝通,則一定要提供豐富的資安常識,長期的培養資安觀念,用清楚的原因說明這樣做對大家的幫助,除了說服公司內部關係人讓執行更加順利以外,長期培養正確的資安觀念其實才是更值得的成果。
8. 資安管理與 BCP 的關係
Allen:BCP 講的是一個企業經營的永續管理,同樣無法一蹴可及,而資安管理儼然是裡面相當重要的一環,很多企業因為一次資安的事件,除了賠本也賠名聲,有的甚至乾脆直接倒閉,當企業在關心 BCP 議題的時候會發現,資安管理常伴左右,資安與一間企業的是否能安好的發展本業、持續經營下去已經密不可分,因此,一家企業要永續管理,最基本也應該要做到讓全體擁有正確的資安觀念,如此一來,若員工都能主動式的關注資安現象、防止自己不慎點開危險的聯結、程式,至少能先大幅避免企業因為資安漏洞所造成的企業服務中斷、商譽損失等損害。
歡迎轉載!請見:轉載原則。