根據國際研究機構顧能（Gartner）所做的研究資料顯示，全球資訊安全產品與服務支出，2017年支出達864億美元，到2018年則增加到930億美元。另外也有資料顯示，一直到2020年，全球的資安支出也將高達1,130億美元。

從企業大手筆的資安投資可以證明，現在的企業組織為了維持企業的持續營運，對於資安威脅已經到了不得不重視，甚至也必須越來越重視的時候。

因此，多數的企業組織也願意持續投資在各種資安產品與服務的採購上，雖然資安投資的金額和比例持續增加，但事實上，許多資料外洩的資安事件，卻依舊層出不窮，沒有因為資安投資的增加反而有所減少。

以近期最嚴重的的資料外洩事件，全美第三大消費者信用報告業者Equifax在2017年9月對外坦承遭到駭客入侵，導致1.46億名消費者個資外洩為例，外洩的資料包括消費者的姓名、生日、社會安全號碼、電話、駕照號碼、電子郵件甚至包括信用卡資料在內。

而協助調查的資安公司指出，這一切資料外洩事件的起因，卻只是因為一個應該早該修補但卻沒有及時修補，漏洞編號為 CVE-2017-5638的Apache網站伺服器的Struts漏洞。

對於Equifax公司而言，外洩的是重要的消費者各種個資，起因卻是因為企業內部的資安團隊成員，沒有及時修補重要的網站漏洞造成的。從這樣的資料外洩事件也引發諸多疑問，那就是，為什麼企業組織對於資安投資持續增加的同時，卻沒有辦法減少這類資料外洩事件的發生頻率呢？

資安公司Forcepoint使用者及資料保護技術長Brandon Swafford表示，因為我們生活在一個網路與裝置界線越來越模糊、難以清楚界定的零邊界（Zero Perimeter）的世界裡面，這類資料外洩的資安事件，比過往更具有破壞性與殺傷力。

因此，企業的資安人員就必須要意識到，關注這些資訊與數據和人員的流向與連結，而不是一直針對此起彼落的各種資安預警或資安事件做出回應。

現實的企業IT環境就是，所有的數據資料都四散到各種類型的雲端服務，不論是微軟Office 365或者是亞馬遜AWS甚至是各種網路儲存空間Dropbox或Box等；或者是人手一機的智慧型手機與平板電腦等，甚至是遠端連網的工作者，或是自帶裝置（BYOD）到企業內部使用的各種行動工作者，都有機會儲存或使用企業的各種資料。

他認為，在這個缺乏明顯邊界的企業環境中，資安防護措施應該如何部署，才能夠避免這些四散的資料不會外洩，則成為現在企業組織在資安防護上的一大挑戰。

企業網路環境越來越複雜，傳統資安防禦方式不適用

企業內，不論是老闆或員工，在總部或是分公司工作，甚至是在差旅的途中，都必須透過網際網路進行各種企業內部資料的交換與傳送。

不過，也有許多企業，也開始將原先在企業內部使用的應用程式和資料，上傳到各種類型的雲端平臺提供服務；不只企業內部要交換資料，還必須跟客戶、夥伴以及各種上下游供應商進行各種的資料交換。

所以，企業開始遇到各式各樣的風險，每一個人與網路連接的節點，都是駭客可以入侵的入口，也都是資料可以外洩的出口。但要確保這些資料不會外洩，就必須要能夠清楚掌握資料在哪裡，「只有看得到資料從何處來、往何處去，才有辦法控制資料的流向。」Brandon Swafford說道。

不只如此，當企業網路環境的邊界變得越來越模糊時，許多企業內部的資安政策也開始與現實環境脫節，政策歸政策、資安防護作法歸作法，兩者就像是兩條平行線一般，互不搭理的同時，也成為企業資安的缺口所在。

此外，像是Equifax在去年發生的資料外洩一例，問題並不是出在Apache網站伺服器的漏洞本身，而是，為什麼應該負責修補漏洞的團隊，也就是「人」，沒有意識到這個漏洞會對企業帶來重大損害呢？

由此可以觀察到，企業內的漏洞修補政策步調，無法跟上企業對於資訊安全保護的需求時，就可能像Equifax一樣，爆發難以預期的資安風險漏洞，進而造成企業的重大損失。

當然，也有有其他一些非常看重資安，並且非常按部就班的企業，除了會一步一腳印、打造良好的資安環境所必備的各種基礎設施之外，也會蒐集各式各樣的設備資訊做分析。

不過，Brandon Swafford表示，因為所有的企業資訊無所不在，從公有雲到私有雲，從各種隨身的智慧型裝置到可攜式裝置，資安團隊必須要收集來自各種IT設備的登錄檔（Log）資訊，甚至是企業內的人資系統、財會系統、以及各種分析系統的使用記錄等，作為資安分析的標的，藉此，進一步找出過去幾個月，甚至是過去幾年，可能發生的各種資安事件所包含的人、事、時、地、物等多種資訊。

為了要找出這些資安風險的真正訊號，「企業舊有的資安作法已經行不通了，」Brandon Swafford明白說道。

他進一步指出，以往透過單點部署資安設備的方式，已經無法解決現代企業所面臨的資安風險，必須要進一步從點擴大到線以及面的層次，才能夠真正分析出資安風險的訊號，並且降低不必要雜訊而淹沒重要的警告，以免影響企業決策。

企業內部的資訊流要做可視化，IT人員才有辦法管理；再搭配使用者行為進行風險等級分級分類，就可以有效控管企業內部的資安風險。

── Forcepoint使用者及資料保護技術長

學習從「人」的角度，思考資安風險所在

從1990年～2010年間，資安業者關注的重點在於，監控企業內部各種可疑的網路流量。這時候，只要可以掌握企業流量的變化，就可以掌握企業內網路風險的所在。

不過，從2010年開始後，駭客出現各種更詭譎多變、更難以察覺的企業網路入侵手法，從各種對外管道入口，滲透並入侵企業，發動針對式攻擊到APT（進階持續性威脅）攻擊，加上駭客在企業內部的潛伏期可以從一星期到十年不等，企業資安長要思考的重點就是，應該要讓駭客「進得來卻出不去」的情況下，便得要做到，有能力阻止駭客在企業內部的橫向移動，也就是企業的IT人員必須有能力在企業內部，設置各種有效的控制點，並且阻絕駭客從入侵的單點目標，可以透過各種可能的方式，進一步緩步地移動到，駭客鎖定標的的使用者電腦中，可以偷取相關的機敏資料，並且將資料往外發送到駭客掌控的控制與命令伺服器。

但現在，隨著企業IT環境逐漸採用各式各樣的雲端服務，加上企業內部的資料交換與訊息溝通方式，也都從早期只有內部員工，到現在逐步擴展到外部客戶、供應商，甚至是遠端辦公與差旅中的行動辦公的員工在內，都讓駭客可以採用更複合式的網路攻擊手法，達到竊取資料的最終目的。

Brandon Swafford表示，這樣的方式，也讓企業原先的IT管理方式，顯得落伍且不適用，企業資安長必須更有重新思考一套，如何做到更有彈性去管理並面對，包括雲端服務和遠端員工等IT系統與員工，所交織而成的複雜企業網路環境的管理方式。

「要管理這些資料，就必須要能夠掌握資訊流，最終必須要回歸到有一套妥善管理人的節奏的方式。」Brandon Swafford指出，現代化的資安風險管理方式，其實就是一種以人為中心（Human-Centric）的資安策略。

他也進一步解釋，掌握資訊流並掌握人的行為，就是以人為中心的資安管理策略。

若以掌握資訊流來說，確保重要的機敏資料不會外洩到企業或組織外部，必須要先做到企業資料盤點，然後管理並控制這些資料的流向，也要做到即時（Real-Time）的防護，以確保資料數據不會受到任何損害。

再者，這些資料在對內甚至對外流動時，一定要確認，必須是經過企業內部合法授權的使用者才能夠存取，確保這些使用者，可以在他們所使用的任何裝置上，有效率且安全的處理企業相關資料，並對外阻絕相關的資安風險。

最後，也必須要可以分析使用者的行為，但這必須要從資料與資產對企業營運帶來的價值作為分析的基礎，並且深入觀察使用者行為和雲端服務的使用狀況，作為評估與控制風險的參考。

「可以將使用者依照風險程度分級，」他指出，回歸到「以人為中心」的面向，更在意他是誰？他在做什麼？可以讓我們更好辨識，在他們存取系統時，知道可以允許或拒絕誰存取，這樣的限制也會改變他們存取系統和資料的方式。

例如，在下班離峰時間，即將離職、跳槽的員工，頻繁存取機敏資料到網路雲端硬碟或隨身碟的異常行為，因為這樣的作為將可能對企業營運帶來重大的危害，就可以將這樣的人分級列為高危險群。

透過奠基在統計學、異常分析、稀少性分析的分析模型上，加上深度學習的技術，找出對員工最適合的風險控管程度，就可以進行相關的資安預測，在資安政策的設定上，就禁止這些高風險員工存取相關的機敏資料，一旦有這樣的行為，系統就會立即阻擋並進行通報。

Brandon Swafford認為，如果這些重要的機敏資料，就如同皇冠上的珠寶一樣重要的話，企業資安長就要先定義出商業流程，並分解每一個流程，確認到底有誰可以看到這些重要的機敏資料，「只有當這些資料流向可以做到可視化，企業IT人員才有辦法控管他們，也可以降低風險。」他說。

全球Forcepoint調查：近7成企業無法掌控資訊流與人的行為

資安公司Forcepoint先前曾經針對全球1,252名資安專家進行一份資安調查，報告內容指出，隨著有越來越多企業開始採用各種類型的雲端服務，以及各種行動裝置成為企業內部IT環境不可切割的一部分，這也使得企業內部追蹤各種資訊流向，變得比以往更為困難。

其中，只有36％的受訪者對於目前所使用的資安工具感到滿意或非常滿意；另外，也有46％的受訪資安專家表示，非常在意行動裝置上個人與商業應用程式的安全性。

但是，也有58％的專家表示憂心，因為企業對於員工在雲端服務和行動裝置上，究竟如何使用企業內重要關鍵資訊，只具備中等或輕微的可視性。從上述這樣的數據顯示，企業IT部門並無法有效掌控資訊流的流向。

再者，該份調查中也看到，資安專家並不滿意目前所使用的資安工具，尤其是，雖然有80％的專家認為，必須要了解使用者與資料彼此的交互作用與流向，且有78％的專家認為，理解使用者行為背後的意圖非常重要。

但從這份數據的調查中發現，只有28％的企業指出，他們可以有效掌握資訊流和人的行為。

這意味著，有將近7成的企業，並無法掌控企業內部的資訊流，也無法有效控管使用者的行為。

 CTO小檔案 

Brandon Swafford

Forcepoint使用者及資料保護技術長

學經歷：沃西本恩大學傳播學院法律組畢業，先後任職於鑑識公司、法律事務所、諮詢顧問公司和政府委外的資安公司等，2011年於博思艾倫諮詢管理顧問公司擔任資深資安工程師，2013年7月於對沖基金公司橋水聯合基金擔任首席資安工程師，於2016年12月擔任Forcepoint使用者及資料保護技術長一職迄今

 公司檔案 

Forcepoint

● 成立時間：2016年1月

● 主要業務：提供各種資訊安全解決方案

● 總部：美國

● 員工人數：2,500人左右

● 網址：www.forcepoint.com

 公司大事紀 

● 2015年5月：美國國防業者雷神（Raytheon）併購資安業者Websense

● 2016年1月：併旗下多家資安公司，包括Websense、Raytheon網路產品，以及Stonesoft次世代防火牆，正式更名Forcepoint

● 2018年4月：推出以人為中心（Human-Centric）資安策略與產品平臺