從地緣政治到全球供應鏈布局,台灣企業面臨加倍的資安攻擊及風險威脅。金管會證期局就在 2021 年 12 月底發布「上市上櫃公司資通安全管控指引」,從資訊公開、公司治理、監理協助等三大面向,提出上市上櫃公司強化資安管控作業的必要措施。
指引裡明文要求上市公司應配置適當人力資源及設備進行資通安全制度之規劃、監控及執行資通安全管理作業。如何以有限人力來因應錯綜複雜的資安課題,完成管控指引各個章節界定的工作目標,以及破除常見的資安誤區,就成為當務之急。
「微軟資安治理白皮書」針對「上市上櫃公司資通安全管控指引」作業細則的三個章節進行深入解析,並提供相對應的行動指南,包括第四章的資通系統盤點及風險評估、第五章的資通系統發展及維護安全、第六章的資通安全防護及控制措施。協助企業有效因應倍增且複雜的網路攻擊、橫跨地端與雲端的異質化 IT 環境、日益繁複的監管規範等多重挑戰,以合規為基礎來提升企業的資安韌性。
橫跨IT與OT的全面盤點及風險評估
「上市上櫃公司資通安全管控指引」第四章的主題為資通系統盤點及風險評估,重點工作項目包括定期盤點資通系統及定期辦理資安風險評估。這兩項工作有明確的先後之分,必須以精確的盤點為前提,才有準確的資安風險評估,以免後續的防禦或修正措施有所偏差,形成弱點或漏洞。
這個工作階段的常見狀況,在於許多營運科技(OT)領域的企業裝置或產業設備成為盤點的漏網之魚,有鑑於針對 OT 設備的資安事件倍數成長,遵循指引並全面納管已是勢在必行。
另一個挑戰則來自於以人工、手帳進行資產管理的土法煉鋼模式。無論是軟體或硬體、IT 或 OT 設備,都建議以自動化機制來盤點及管理資產,唯有建立自動化的盤點及管控機制,才能即時且深入掌握資產的運作狀態,確保風險評估不失真,進而規劃最到位的因應對策。
導入零信任架構與 DevSecOps 開發模式
正確掌握現狀之後,「上市上櫃公司資通安全管控指引」第五章的主題邁入資通系統發展及維護安全,包括搭配機敏資料存取控制、用戶登入身分驗證、用戶輸入輸出之檢查過濾等資安要求,並定期測試上述的安全措施。此外,針對核心資通訊系統,則需定期辦理弱點掃描、滲透測試等資安檢測作業,系統上線必須執行源碼掃描安全檢測。
資通系統的運作涵蓋基礎結構、應用程式、資料、網路、端點裝置及使用者等六大要件,因此,在執行資通系統發展及維護安全任務時,必須跳脫單點強化的舊思維,改採更為全面的對策,零信任架構正是最為可行也最受重視的解決方案。
零信任架構的原則是「永不信任,永遠驗證」,身分識別驗證則是零信任安全性的基石,只有已授權的人員、裝置、程式才能存取系統上的資源。因應「上市上櫃公司資通安全管控指引」第五章對資通系統的機敏資料存取控制、用戶登入身分驗證、用戶輸入輸出之檢查過濾等資安要求,以身分識別控制做為企業落實零信任架構的起手式,進而逐步完備基礎結構、應用程式、資料、網路、端點裝置及使用者等六大要件的零信任對策。
而在核心資通訊系統的加強防護,從需求、設計、開發、測試到部署及維運,橫跨軟體開發生命週期植入資安 DNA 已是基本功,建議可採行 DevSecOps(Development、Security、Operation)開發模式,橫跨整個軟體開發生命週期落實安全性,在每個開發階段都執行資安掃描及檢測自動化作業。
以單一整合的安全監控中心取代局部管理
「上市上櫃公司資通安全管控指引」第六章的主題為資通安全防護及控制措施,合計二十八條規範涵蓋了基礎架構、人員、端點及資料管理,同時明列必備的資安防護控制措施,包括防毒軟體、網路防火牆、搭配郵件伺服器的電子郵件過濾機制、入侵偵測及防禦機制、以應用程式防火牆防禦對外服務的核心資通系統、進階持續性威脅攻擊防禦措施,以及資通安全威脅偵測管理機制(SOC)。
然而,當企業從點、線、面布建了資安管控工具,亟需建立的就是資安監控中心及團隊,因為問題可能來自電腦、使用者或供應商,唯有透過統一的平台來集中所有事件,才能綜觀全局,避免「頭痛醫頭、腳痛醫腳」卻未找出病根的應對方式。
除了啟用及管理資安工具,為了完整納管資料及端點,最為事半功倍的作法就是擴大零信任架構(Zero Trust Architecture)的應用範疇,從身分識別控制延伸至資料與端點裝置。由於資料和端點的關係密不可分,將零信任落實於資料存取,就等同於治理、保護及瞭解分布於眾多端點的資料。
而在帳號審查部分,完整的帳號生命管理週期和條件式的授權機制的結合,可更精確地控管企業內外部不同類型使用者及其帳號。此外,「上市上櫃公司資通安全管控指引」亦規定企業必須每年定期辦理電子郵件社交工程演練,善用相關工具除了可協助企業進行多種社交工程技術的攻擊模擬訓練,還能透過模擬結果和對應訓練的解析報告,協助企業掌握使用者的威脅整備進度,以及建議的後續步驟。
各自為政的資安往往導致了許多三不管地帶或是趁虛而入的漏洞,微軟以遍及多重領域的技術背景,全盤思考資安的各個核心層面,提出網路安全性參考架構(Microsoft Cybersecurity Reference Architecture),協助企業瞭解微軟的網路安全功能,以及相關功能如何進行跨雲、跨平台、跨協力廠商應用程式的整合,獨特的整合性作法,將可從由內到外、由外到內的不同角度來解決棘手的資安問題。
--
免費全書下載《企業的法遵挑戰與行動指南》
https://aka.ms/MS-CISO-Whitepaper
Free Trial
免費試用 Microsoft Security,為企業提供全面性防護
熱門新聞
2024-11-25
2024-11-15
2024-11-15
2024-11-28
2024-11-25
2024-11-29