玉山銀行資安長陳榮俊在臺灣資安大會的金融資安論壇,分享玉山如何落實資安有效性,共分為程序、人員、科技這3大面向。(圖片來源/iThome)

「一位盡責的資安長為何會夜不成眠?因為他要擔心的事太多了,從網站、伺服器、應用程式、端末設備、使用者,甚至第三方供應商,都可能造成資安事件。即便訂好相關規範,買了資安設備,做完教育訓練,老闆問起資安做得好不好,為什麼CISO還是沒有信心?」玉山銀行資安管理處資安長陳榮俊在臺灣資安大會金融資安論壇道出了CISO的心聲。

陳榮俊進一步提到,建構完善資訊安全系統有3大面向:「程序」、「人員」、「科技」。可是,他坦言,即便都能兼顧,也不代表資安就做到位,就像設了資安規範還不夠,「必須了解訂定規範背後的意義,以風險為考量進行規畫與執行,才是有效落實性的真諦。」

陳榮俊更以程序、人員、科技這3大面向,進一步揭露玉山在落實資安有效性所面臨的挑戰及關鍵因應心法。

導入ISMS資訊安全管理系統,統一內部資安依循標準

首先,在程序面,玉山在2012年便擁抱國際標準,建立ISMS資訊安全管理系統的運作機制,隔年正式取得ISO 27001驗證,作為資訊科技團隊運作的基礎。

陳榮俊表示,不只藉此掌握資安治理全貌,也讓千人科技聯隊,有統一的資安依循標準。近年,玉山更透過不同面向的資安框架,來檢視自家資安防護是否允當,包括NIST CSF、MITRE ATT&CK。最重要的是,建立PCDA良性改善循環機制,逐步提升自身資安成熟度,同時,「也要了解同業資安水準,才能將資源放在刀口上。」他補充。

然而,「即便組織內部建立了SOP,仍會有人便宜行事。」為了避免員工有這樣的心態,玉山在系統控管上,留下軌跡搭配查核制度,包括自行查核與內外部稽核,來警惕員工不要以身試法。此外,他強調,必須在流程的重要關卡設立控制點,比如,開放防火牆,必須通過資安管理處放行才能生效。

將資安教育訓練與績效連結,讓各單位發揮守望相助精神

在人員部分,陳榮俊表示,在教育訓練上,為了提供豐富多樣的課程,玉山內部嘗試過影片、漫畫來提高員工的學習興趣,也安排工作坊透過情境模擬來進行討論,以積極參與的訓練方式,提升員工資安意識與能力。而為了讓教育訓練有效,玉山還會透過考試,讓員工還有一次的機會教育。

此外,玉山還會利用團隊的力量來要求,建立分組共責的連坐制度。當一個人做不好,就會連累整個小組,甚至是整個單位。陳榮俊舉例,玉山每個月都會進行社交工程演練,若因個人不小心,讓整個單位無法達標,該單位就須加強資安教育訓練,也會通知該名員工的單位主管作為考績的參考。

他強調:「如此一來,大家就會發揮守望相助的精神。」任何一人發現了疑似有社交工程的狀況時,就會通知全單位有這類信件,請大家特別留意,所有人也會為了團隊榮譽全力奮戰。「這是玉山落實資安有效性的心法。」

玉山更會以風險導向機制決定人員訓練的頻次。比如,社交工程演練,如果有人常會開啟連結與附件,就屬於高風險的人,內部就會要求這些人做更多訓練。玉山也將教育訓練與績效連結,將犯錯記錄列入平日考核,「讓他感覺到痛,就有機會改正粗心。」陳榮俊說。不過,他認為,最有效的是制度面的改善,利用制度輔助,例如流程控管、檢查清單,來降低落實不安全的風險。

此外,「企業普遍的痛點是找不到有經驗的資安人力,還要避免自家資安人員被挖角。」這也是資安長夜不成眠的原因之一。為此,陳榮俊表示,玉山的作法是從培訓新人開始,玉山資安處現有20名成員,其中三分之一以上都是新人。不過,他坦言,新人畢竟欠缺專業,也沒有實務經驗,所以,玉山透過團隊學習,比如讀書會、分組技術研討等,來提升新人的專業能力。

對於有潛力的新人,玉山內部還會透過輪調實習的方式,將新人調到資訊單位,學習網路管理、伺服器管理、資料庫管理、程式開發等。「希望藉此培養新人多維度的專業能力,同時,也能強化資安處與一、二道防線的協作。」他強調。

確定公司發展方向,掌握核心的關鍵能力

在科技面,陳榮俊拋出一個問題,資安產品琳琅滿目,企業該如何選擇?他表示,可以多看、多聽、多交流,比如參與廠商研討會、閱讀媒體報導或多與同業互動,這是第一步。

接下來,企業必須發掘自身痛點,透過情境模擬進行POC測試,他強調,企業必須自行設計POC情境,千萬不要直接用廠商情境來驗證,因為,常見的廠商情境是為了驗證產品功能;他建議,廠商可以好好了解甲方痛點,設計出適合甲方的情境再來驗證,才能達到雙贏的效果。

陳榮俊提到,企業人力資源有限的情況下,不一定要將所有技術掌握在自己手中,可是,「必須確定公司的發展方向,掌握核心的關鍵能力,再來決定資源投入的方式。」他進一步舉例,玉山建置SOC(資安監控中心)時,也曾考慮要自建或委外,之後選擇自建的原因是,考量到現今外在環境多變,以及駭客攻擊樣態層出不窮,只要將關鍵技術掌握在自己手中,面對事件的更新與處理,甚至是預防時,才能更快反應與更深入的研究。

此外,他也提醒,企業導入新的資安產品時,要檢視現有防禦設備是否功能重複,避免資源浪費。不過,他提醒,功能重複有時是必要的,才可以避免單一產品的缺陷,比如,VirusTotal就集合了超過50種防毒軟體引擎來進行惡意程式的判讀。

不過,如何確保所用的資安產品能持續有效運作?陳榮俊表示,最重要的是建立監控機制並定期檢視,像是近期勒索病毒猖獗,他提到,企業除了進行備份,還須確定備份是否成功,做好備份回存的驗證,這是定期檢視的重要性。「雖然做起來非常辛苦,但很有效。」他坦言。

此外,企業也可透過外部的能力來驗證自我防禦的破口,比如透過紅隊演練。陳榮俊提到,玉山在2018年成立資安管理處,原先是預計經過2年的打底,就要接受紅隊的挑戰,可是,因為去年疫情開始爆發,所以紅隊演練延至今年執行。

「資安無法保證100%沒有問題。」陳榮俊表示,企業在做了一切努力後,還可以透過風險轉嫁如投保資安險;不過,他也提到,投保資安險只能賠償實際發生的損失,對於企業商譽損失則無法賠償。他更強調:「除了資安事件是非人為疏失,否則一切結果都是資安長承擔。」

資安落實的5大成功關鍵

陳榮俊也以CALMS模型(Culture、Automation、Learn、Measurement、Sharing的縮寫),來說明資安落實的5大成功關鍵。

Culture代表風控文化的養成,他強調,資安絕不只是資安單位的事情,必須將資訊安全人人有責的觀念落實到全企業,重點是高階長官的支持,以及主管機關對金融機構在資安上的要求,都是企業建立重視資安文化的關鍵。

Automation則表示自動化機制的導入,陳榮俊提到,現在的情資與攻擊樣態實在太多,企業需管理的伺服器、端末設備、應用程式也是海量,光靠人工處理的話,在即時性上可能會來不及反應,許多細節也可能會有所忽略,造成潛藏性的資安風險。所以,必須導入自動化機制或工具,來處理整體的資安事件。

Learn對應到的是學習型組織的運作,「一個人可以走得快,但一群人可以走得遠」,他表示,企業可以透過團隊的力量,讓個人及組織能保持持續的學習增長,讓組織充滿創新與進步的動力。

另外,Measurement則代表評量指標的建立,他認為,企業訂定KPI時,一定要確立工作目標,KPI只是衡量工作目標是否達成的工具。玉山是將資安指標納入分行績效評量的一環,作法上也採取鼓勵方式,分行單位只要按時做完資安處要求的教育訓練,就可以拿到分數,此外,如果分行單位發現疑似社交工程或偽冒信件後,再進一步通報的話,還可以再加分。「先讓同仁了解資安稽核的要求,再逐步深化資安的深度與廣度。」

Sharing則是對應到分享觀念的培養,陳榮俊提到,對於金融業來說,資安是一項可以與同業互相交流,但是又不涉及商業機密泄露的問題。「金融業有共同的敵人,甚至,敵人還會互相合作,背後甚至還有國家的力量在支持,所以,更要聯合大家的力量共同對抗駭客。」

今年1月下旬開始,玉山已加入F-ISAC建置的二線F-SOC(金融資安聯防監控平臺),只要有符合F-SOC訂定的監控指標被觸發,玉山就會將相關資訊傳送到F-SOC平臺,透過協同運作,讓主管機關可以有效監控整體金融機構的資安風險。文⊙李靜宜

熱門新聞

Advertisement