【臺灣資安大會直擊】做資安「知彼」更要「知己」，自身資安需求與實際落差更應從資安風險評估著手

每年資安威脅趨勢不斷變化，各家資安業者都會發布各式威脅趨勢研究報告，或是企業資安現況調查，但企業在看待這些資訊時，有時是否可能忽略應從自身風險角度來切入。這幾年來，儘管普遍一直在強調企業應重視資安成熟度、資安策略與規畫的概念，就是要企業能夠了解自身風險，盤點出強化順序，才能每年一步步提升資安防護。

但企業真的夠了解自己的問題嗎？戴夫寇爾（Devcore）執行長翁浩正在今年臺灣資安大會的演講上，特別強調了攻擊趨勢只是識別風險中的一部分，並且點出國內企業在識別風險層面上還不夠重視的問題。

如何確保企業防禦措施符合預期，先理解識別風險與處理風險

過去大家已經常聽到，企業經營需要鑑別所面臨的營運威脅和衝擊，但臺灣企業因為產業型態與規模大小不一，因此這樣的觀念可能並不健全，針對企業資安風險，翁浩正在本次演講中，特別從風險看待方式談起，並區分為識別風險與處理風險兩大類，讓大家在此方面能夠更進一步去理解。

他用了一個簡單的比喻，當我們每個人在看待自身健康狀況時，一方面會吃維他命、健身等來補足自身，一方面也會透過健康檢查，了解身體狀況進而因應，也就是透過評估，而資安也有同樣的類似概念。

翁浩正將風險分成兩大類，一種是識別風險，另一種是處理風險。同時，他以NIST 網路安全框架（CSF）的5大功能來對應，其中的識別就是對應到識別風險，相當明確，而保護、偵測、回應與復原，這些都是用於處理風險。

在識別風險層面上，企業可以怎麼做？翁浩正指出有四大面向，例如，從關注攻擊趨勢看其他企業發生的風險，從自己在內部發生發現的高風險漏洞，也就是已知的高風險，另外還包括企業已知有問題，但風險並不高，目前還沒有要處理的潛在風險，以及企業平時不知道、無徵兆，但實際存在的未知風險。

而在處理風險層面上，現在很多資安廠商提供的各種設備及解決方案，就是為了要處理風險，當中需要注意的面向可不少，包括各種設備軟體的採購優先順序，以及部署範圍與布署位置，還有誤報率與回應時間等。

看待這兩類風險時，企業可以如何進一步思考？簡而言之，識別風險時要關注的重點在於，有哪些是攻擊者認為最有利用價值的風險，將是企業列為最優先需要找出的問題，而處理風險時的重點在於，最常在事件過程當中發生的問題，他舉例，像是內部應變是否不夠，還是已有應變但應變團隊有狀況，或是SOC沒有通知等情形。

而在上述說明當中，對於企業看待資安風險，翁浩正強調，識別風險將是企業更需重視的面向，此外，由於攻擊趨勢與企業現況不一定相符合，不能只看別人怎麼做，也要看自己發生怎樣的問題。

對於企業自身資安的需求與實際情形的落差，戴夫寇爾（Devcore）執行長翁浩正先從資安風險談起，他並分成識別風險與處理風險兩大類來解釋，前者可對應CSF中的識別，後者則可對應保護、偵測、回應與復原。

接下來，他並藉由2020年iThome資安大調查的內容，以資安投資重點上的調查結果，來進一步說明企業需要重新思考的問題與挑戰。

他先談到處理風險的部分，市面上有相當多的資安投資項目，都是屬於這一類，包括2020年國內企業前10大投資項目，像是網路安全、IT基礎架構防護、郵件安全、異地被援、端點安全、資安教育訓練、災難復原、強化存取控管權限、資料外洩保護與Web安全，其他還有行動裝置安全、身分識別機制、雲端安全、IoT安全、高層資安意識、CSIRT、威脅情資、OT安全與GDPR等。

至於歸納為識別風險的項目，包含資安稽核認證、滲透測試、源碼檢測、NIST CSF、紅隊演練、威脅獵捕與漏洞獎金計畫等。翁浩正指出，在此當中，國內企業投資比例較高的項目，僅有資安稽核認證與滲透測試，但去年也僅有2成左右企業有此打算，至於其他項目要投入的企業，比例則是更低。

雖然這只是概括的畫分，但翁浩正的用意明顯是希望能突顯出，企業對於識別風險面向的不夠重視。

同時也提醒企業，威脅或防護的趨勢調查是可以反映大環境的概況，但個別企業更是要從自身風險看起。畢竟，每一間企業的資安防護架構不同，強化優先順序不同，而每年的調查結果將是一個參考性的輔助。

畢竟，像是上述的調查結果本來就是整體概況，讓各企業可以知道那些資安防護面向，有很多企業正在做，而自己是否已經投入，或是企業自身已經開始做了，別的企業現在才跟上，甚至別的企業都還沒有投入，表示企業自己的行動比別人要快。

對照2020年iThome資安大調查的企業投資重點結果，翁浩正認為，可幫助企業識別風險的解決方案，包括資安稽核認證、滲透測試、源碼檢測、NIST CSF、紅隊演練、威脅獵捕與漏洞獎金計畫等，但投資這些項目的臺灣企業比例都明顯偏少。

在本場演講中，翁浩正也引用了今年3月KPMG發布的臺灣企業資安曝險大調查，當中透過多種外部曝險項目的調查，並量化為分數來呈現產業現況，其中金融業87分最高，其他產業則普遍在75分平均之下。翁浩正表示，這意味著金融業在法規要求之下，資安防護走得比較前面，但面對有經驗的駭客組織還是有可能被入侵，而像是製造業、電子零組件、通訊與電腦及周邊等產業，面臨資安威脅相對更是比較辛苦。

另一方面，翁浩正也從他們執行紅隊演練的經驗來說明，至今為止，他們每次演練全部都能入到企業內部網路，入侵成功率是百分之百，並有6成是可以直接進入到企業AD伺服器，或是VMware vCenter等核心系統，這樣的結果顯示，企業面對ATP組織或網軍攻擊，防禦能力還是偏弱。