對於企業看待資安風險,戴夫寇爾(Devcore)執行長翁浩正強調,識別風險將是企業需思考與重視的面向,此外,也應瞭解攻擊趨勢與企業現況,其實不一定相符合。

每年資安威脅趨勢不斷變化,各家資安業者都會發布各式威脅趨勢研究報告,或是企業資安現況調查,但企業在看待這些資訊時,有時是否可能忽略應從自身風險角度來切入。這幾年來,儘管普遍一直在強調企業應重視資安成熟度、資安策略與規畫的概念,就是要企業能夠了解自身風險,盤點出強化順序,才能每年一步步提升資安防護。

但企業真的夠了解自己的問題嗎?戴夫寇爾(Devcore)執行長翁浩正在今年臺灣資安大會的演講上,特別強調了攻擊趨勢只是識別風險中的一部分,並且點出國內企業在識別風險層面上還不夠重視的問題。

如何確保企業防禦措施符合預期,先理解識別風險與處理風險

過去大家已經常聽到,企業經營需要鑑別所面臨的營運威脅和衝擊,但臺灣企業因為產業型態與規模大小不一,因此這樣的觀念可能並不健全,針對企業資安風險,翁浩正在本次演講中,特別從風險看待方式談起,並區分為識別風險與處理風險兩大類,讓大家在此方面能夠更進一步去理解。

他用了一個簡單的比喻,當我們每個人在看待自身健康狀況時,一方面會吃維他命、健身等來補足自身,一方面也會透過健康檢查,了解身體狀況進而因應,也就是透過評估,而資安也有同樣的類似概念。

翁浩正將風險分成兩大類,一種是識別風險,另一種是處理風險。同時,他以NIST 網路安全框架(CSF)的5大功能來對應,其中的識別就是對應到識別風險,相當明確,而保護、偵測、回應與復原,這些都是用於處理風險。

在識別風險層面上,企業可以怎麼做?翁浩正指出有四大面向,例如,從關注攻擊趨勢看其他企業發生的風險,從自己在內部發生發現的高風險漏洞,也就是已知的高風險,另外還包括企業已知有問題,但風險並不高,目前還沒有要處理的潛在風險,以及企業平時不知道、無徵兆,但實際存在的未知風險。

而在處理風險層面上,現在很多資安廠商提供的各種設備及解決方案,就是為了要處理風險,當中需要注意的面向可不少,包括各種設備軟體的採購優先順序,以及部署範圍與布署位置,還有誤報率與回應時間等。

看待這兩類風險時,企業可以如何進一步思考?簡而言之,識別風險時要關注的重點在於,有哪些是攻擊者認為最有利用價值的風險,將是企業列為最優先需要找出的問題,而處理風險時的重點在於,最常在事件過程當中發生的問題,他舉例,像是內部應變是否不夠,還是已有應變但應變團隊有狀況,或是SOC沒有通知等情形。

而在上述說明當中,對於企業看待資安風險,翁浩正強調,識別風險將是企業更需重視的面向,此外,由於攻擊趨勢與企業現況不一定相符合,不能只看別人怎麼做,也要看自己發生怎樣的問題。

對於企業自身資安的需求與實際情形的落差,戴夫寇爾(Devcore)執行長翁浩正先從資安風險談起,他並分成識別風險與處理風險兩大類來解釋,前者可對應CSF中的識別,後者則可對應保護、偵測、回應與復原。

接下來,他並藉由2020年iThome資安大調查的內容,以資安投資重點上的調查結果,來進一步說明企業需要重新思考的問題與挑戰。

他先談到處理風險的部分,市面上有相當多的資安投資項目,都是屬於這一類,包括2020年國內企業前10大投資項目,像是網路安全、IT基礎架構防護、郵件安全、異地被援、端點安全、資安教育訓練、災難復原、強化存取控管權限、資料外洩保護與Web安全,其他還有行動裝置安全、身分識別機制、雲端安全、IoT安全、高層資安意識、CSIRT、威脅情資、OT安全與GDPR等。

至於歸納為識別風險的項目,包含資安稽核認證、滲透測試、源碼檢測、NIST CSF、紅隊演練、威脅獵捕與漏洞獎金計畫等。翁浩正指出,在此當中,國內企業投資比例較高的項目,僅有資安稽核認證與滲透測試,但去年也僅有2成左右企業有此打算,至於其他項目要投入的企業,比例則是更低。

雖然這只是概括的畫分,但翁浩正的用意明顯是希望能突顯出,企業對於識別風險面向的不夠重視。

同時也提醒企業,威脅或防護的趨勢調查是可以反映大環境的概況,但個別企業更是要從自身風險看起。畢竟,每一間企業的資安防護架構不同,強化優先順序不同,而每年的調查結果將是一個參考性的輔助。

畢竟,像是上述的調查結果本來就是整體概況,讓各企業可以知道那些資安防護面向,有很多企業正在做,而自己是否已經投入,或是企業自身已經開始做了,別的企業現在才跟上,甚至別的企業都還沒有投入,表示企業自己的行動比別人要快。

對照2020年iThome資安大調查的企業投資重點結果,翁浩正認為,可幫助企業識別風險的解決方案,包括資安稽核認證、滲透測試、源碼檢測、NIST CSF、紅隊演練、威脅獵捕與漏洞獎金計畫等,但投資這些項目的臺灣企業比例都明顯偏少。

在本場演講中,翁浩正也引用了今年3月KPMG發布的臺灣企業資安曝險大調查,當中透過多種外部曝險項目的調查,並量化為分數來呈現產業現況,其中金融業87分最高,其他產業則普遍在75分平均之下。翁浩正表示,這意味著金融業在法規要求之下,資安防護走得比較前面,但面對有經驗的駭客組織還是有可能被入侵,而像是製造業、電子零組件、通訊與電腦及周邊等產業,面臨資安威脅相對更是比較辛苦。

另一方面,翁浩正也從他們執行紅隊演練的經驗來說明,至今為止,他們每次演練全部都能入到企業內部網路,入侵成功率是百分之百,並有6成是可以直接進入到企業AD伺服器,或是VMware vCenter等核心系統,這樣的結果顯示,企業面對ATP組織或網軍攻擊,防禦能力還是偏弱。

熱門新聞

Advertisement