思科亞太日本區資訊安全總監江明灶指出,企業面臨的資安威脅難以預料,所以企業需要提前準備來防範

國際非營利資安認證組織(ISC)2於5月9日在臺北舉辦「SecureTaipei 2017雲端時代下的資安應變之道」研討會,邀請行政院資通安全處長簡宏偉、思科亞太日本區資安總監江明灶、臺灣雲端安全聯盟理事長蔡一郎等資安專家,共同探討企業和政府機構如何強化網路防禦的應變能力,以及防護雲端服務所帶來的資安威脅。

思科亞太日本區資訊安全總監(CISO)江明灶在會議中指出,許多企業、政府機構在5年前不願意導入雲端服務,主要有資料外洩的疑慮,例如,新加坡金融管理局曾警告銀行機構,盡量不要使用雲端服務,恐造成金融相關的機密資料外洩。

然而,當今國際上已經制定了企業相關的雲端安全標準,如ISO27017、ISO27018等都著重在雲端資料的隱私保護。而且,隨著雲端服務的發展,部分國家也有建立雲端服務的指導方針,江明灶談到,目前新加坡政府建立多層次雲端安全標準(MTCS),每個雲端服務產品可以自願申請該安全標準認證。

企業需主動積極參與制定資安策略,才能提高企業資安防護的效率

但是,有些企業認為上傳至雲端服務的資料,如果遭駭客竊取或外洩出去,安全責任是歸屬雲端服務商,江明灶表示,雖然雲端服務企業提供公有雲(Public Cloud)服務給商業機構,但是雲端服務內的資料安全責任,是屬於使用雲服務的商業機構,因為這些遭外洩的資料屬於使用雲端服務的商業機構,而雲端服務本身的系統安全問題,則屬於雲端服務企業的責任。

江明灶觀察企業面對雲端服務制定的資安策略,發現企業展現5種不同的態度,分別是,首先,企業完全開放雲端服務,很多中小企業沒有做任何的雲端服務控制,採取無為而治的資安策略。其次,企業拒絕使用雲端服務,金融機構和政府的看法居多,都是對於雲端概念的不信任。第三,企業僅內部控制私有雲,部分企業只有管理員工在企業內部使用雲端服務,但是,有些員工會利用USB或行動裝置,竊取企業內部的機密資料,防範效果仍然有限。第四,企業完全聽從提供安全服務的廠商建議,因為很多中小企業沒有經費,可以與資安公司進行溝通協商,會購買固定套裝的資安防護服務,企業資安策略就被資安公司完全掌控。最後,企業主動積極參與制定資安策略,企業與資安公司共同評估企業內部的資安風險,來制定有效率的資安策略。

江明灶認為,企業面臨的資安威脅難以預料,所以企業需要提前準備來防範,首先,企業資安策略要達到可視化(Visibility)程度,了解企業內部的資安問題,再設想情境意識(Situation Awareness),讓企業員工清楚可能發生的資安威脅,才能夠知道如何抵禦威脅,最後企業依照資安風險的程度,安排優先防護的級別,並妥善利用企業資源來訂定防護策略。

江明灶認為,大多數企業在發生資安事件後,才把經費投資在資安防護,恐亡羊補牢為時已晚,所以,他強調企業在開發程式或系統時,需要將資訊安全在考慮範圍內,而不是企業受到攻擊後,才尋找安全解決方案。他舉例,蘋果推出某電子產品的時間,經常比其他廠商都還晚,但蘋果還是擁有許多消費者的愛戴,主要原因在於,蘋果堅持把產品做到質量最好的狀態才推出,才能得到消費者的信賴。企業資安防護能夠做好準備,也可以提供優質的產品和服務,來得到客戶的信賴。

政府不僅重視雲端資安,更要強化國家關鍵基礎設施和IoT裝置資安防護

一方面,企業使用雲端服務不僅降低了企業成本,還能提高企業的生產力,為企業帶來商機之外。另一方面,很多政府機構也開始推動雲端服務,如行政院在2012年投資70億打造政府雲、臺北市政府也在今年4月上線「地政雲」服務。

簡宏偉表示,他在推動電子化政府服務過程中,認為政府機構如果導入一套沒有以資訊安全為基底的系統,像在沙灘上蓋房子,都是不切實際,尤其政府機構導入雲端服務後,面對的資安威脅更複雜。

除此之外,簡宏偉提到,許多人過去認為有些國家關鍵基礎設施沒有連接網路,所以不會有資安的問題,但攻擊者可能利用含有惡意程式的USB,植入國家關鍵基礎設施的系統,以及原本規定無法上網的國家關鍵基礎設施,其內部資料卻在網路上暴露。因此,資安處在今年與專家學者共同合作,針對8大領域的國家關鍵基礎設施來建設相關安全防護措施。

不僅如此,由於物聯網(IoT)裝置在臺灣逐漸盛行,很多IoT裝置與人民的生活息息相關,為民眾帶來了便利,例如智慧電視、監視攝影機、智慧燈泡等,甚至國內某機車廠商,開發了一款App與機車連線,來設定機車的裝置,包括電燈亮度、儀表板色彩和檢視機車電池的容量等。

簡宏偉認為,IoT帶來的威脅也是與日俱增,駭客可以利用IoT裝置系統的安全漏洞,在遠端遙控車子引擎的開啟或關閉,造成的危險更嚴重。資安處目前與經濟部、通傳會正在擬定IoT裝置安全檢驗的規範,讓民眾可以在便利之餘,額外增加安全的保障。

(勘誤說明:原內文提到新加坡雲端產品需要取得MTCS安全認證才能夠使用,更改為MTCS是採取自願方式來取得認證。內文已更正。)

熱門新聞

Advertisement