【臺灣資安大會直擊】蔡一郎：企業可參考國際安全組織規範，確保營運平臺安全

「在永無止盡的資安競賽中，我們（企業）都不希望變成輸家，因為輸了，我們就會遭受損失。」台灣數位安全聯盟（前身為台灣雲端安全聯盟，去年11月更名）理事長蔡一郎在今年臺灣資安大會中的演講，點出了企業在資安攻防上的挑戰。

特別是當雲端服務已成為人們日常生活中相當普遍的服務，當我們的手機連上網路，後端就可能使用各種的雲端服務。去年歐盟地區開始上路的GDPR（EU General Data Protection Regulation），號稱是最嚴厲的個資保護法，企業若違法可能被處以2000萬歐元或全球營收的4%，GDPR去年甫一上路，臉書、Google兩大科技巨頭就挨告，今年1月Google已被法國政府重罰5000萬歐元。

蔡一郎表示，去年上路的GDPR，對歐盟人士的資料保護有比較嚴峻的條件，有一些人可能認為他們並沒有在歐洲推出服務，覺得GDPR和自己無關，事實上，現在雲端服務已模糊化國界，其他人也能使用雲端服務，就可能牽涉到歐盟的GDPR法規。

過去企業面對資安攻擊時，例如行政部門人員收到、開啟招標文件為內容的社交攻擊郵件，會以不懂資安為由，交給資訊部門去處理，但在網網相連的情形下，「沒有人是局外人」他說，資安威脅不僅和IT及CT有關，企業的OT系統如果存在漏洞，將會導致生產製造環境受影響。

企業應對資安事件的六步驟

他分享了企業應對資安事件可採行的六個步驟：分配清楚職責、定義對風險的容忍度、事件分類、訂定明確的指示、優先移除及復原，最後從每個事件中學到教訓。

當企業遭受資安攻擊會處在一定程度的慌亂中，如果企業事先有一套應變機制就相當重。事先分配清楚職責，對員工進行資安的教育訓練，根據企業內部營運，定義對風險的忍耐程度、預估損失，還包括對上下游供應鏈的影響性，再依事件分類，確立處理的優先順序、先後應變機制，從每個資安事件中學習到經驗。

在分配清楚職責部份，蔡一郎指出包括企業營運及管理階層、利害關係人、資安應變小組，涵蓋了管理者及技術角色，評估對企業營運的影響，並掌握資料外洩的原因，是前端的應用程式有問題，或是系統有漏洞。

企業評估對風險的忍耐程度，擬定業務持續營運計畫，才能決定資源的優先順序，對重要的系統建立備援機制，過去是建立一套備援系統，但成本高昂，現在能夠借助雲端服務彈性調配資源，甚至可做異地的雲資料傳遞。

他表示，現今網路世界並不平靜，每天攻擊量非常大，企業應該掌握每天遭受攻擊的來源、類型、數量，去比較和前一天、上個月或去年的差異，透過SIRT進行事件的分析及調查，清查高風險帳戶，經過偵測分析及關聯調查，擬定行動方案。依資安事件的調查報告，評估事件的影響性，再決定資源的配置及處理流程，建立優先移除及復原。

談到紅藍隊的資安思維，蔡一郎表示，兩者是相反的思維，一般而言，藍隊會以管理好資訊設備，使用供應商擬定好的政策，能不更動就不要更動，避免影響營運，但從資安的角度來看，平均三個月有新的攻擊手法、殭屍網路出現，紅隊思維以攻擊為主，利用探測工具分析企業的網路環境、開發環境、哪些資料是感興趣的，並嚐試以不正當的方式存取這些資料，若成功取得資料，代表存在弱點需要因應。

參考國際資安組織的規範做好企業資安防護

蔡一郎表示，每個企業提供的服務平臺，面對的資安威脅千變萬化，很難有一套標準的解決方案對應不同企業的需求，經過訪談去瞭解其需求，評估資安風險的高低，針對關鍵系統投入資源強化防護，次要系統以較低成本的方式保護是比較可行的。

對於許多企業可能認為內部採取封閉的網路，自行開發程式，在網路、開發環境都高度自主，面對的資安威脅也較其他公司來得小，他認為這樣預設性的想法，往往會讓企業在面對威脅時，忽略掉應該關注的點。

目前在國際資安組織中有三個主要組織，The Honeynet Project，主要從事誘捕等資安技術的研究、Cloud Security Alliance（CSA）關注在雲端的安全相關議，另一個是OWASP（Open Web Application Security Project），聚焦在程式開發的安全、網站營運安全等等。

他也介紹了可供參考的國際資安組織所提出的標準或架構，例如關注雲端安全相關議題的Cloud Security Alliance（CSA），CSA對企業資安提出架構，包含企業營運支援服務（BOSS）、資訊科技支援（ITIL），不同層面的企業服務，最後是安全風險管理，涵蓋了法規面、技術面、管理面的要求。CSA也對GDPR提出合規性的指導原則，供企業合規參考。

而專注在網路應用安全研究的非營利組織OWASP，提出OWASP Top Ten十大網站應用的安全風險，如網頁注入（Injection）、無效身份驗證(Brocken Authiticaton)、敏感資料外洩（Sensitive Data Exposure）、XML外部處理器漏洞（XML External Entities, XXE）等等。在物聯網安全風險方面也有OWASP IoT Top Ten。

蔡一郎表示，企業面對未知型態的資安威脅與日俱增，必須審視自己的資安防禦機制是否有效，在這場資安攻防競賽中，都希望能夠擋下每次攻擊。目前雲端服務已成為企業的平臺之一，應透過技術及管理層面的實施，確保企業營運的安全。另外，跨平臺服務已是未來發展趨勢，現在已進入零信任的網路時代。OWASP Top Ten可以作為企業服務平台的安全指標，但並非唯一，並沒有全面涵蓋。