果核、IBM與朋昶三方聯手，打造堅韌且具彈性的企業資安體質

許多企業在數位轉型旅程中，往往面臨高度資安風險；此時若欲提升安全水平、增強永續競爭力，第一要務即是從資安治理及風險管理出發，有效因應潛在威脅。

為此朋昶數位科技偕同IBM、果核數位，於日前舉辦「企業轉型 X 資安同行」研討會，旨在探討資安聯防體系架構，及如何運用資安管理國際標準，引領企業有效強化資安防護的韌性與彈性，加速數位轉型進程。

採取正確心法，實踐資安永續

果核數位資安營運處副總經理張懿慶致詞表示，現今大環境存在眾多資安議題，相關攻擊事件時有耳聞；因此陸續不管在國內外法規、供應鏈規範上，對資安有越來越高的要求。

過去企業推動轉型初期，均側重獲利考量，未認定資安為重大議題；如今逐漸意識到資安是影響獲利的關鍵因子，若疏於資安投資，甚至可能無法獲得訂單。

接著由果核數位資深風險管理顧問李珮君開講，主題為「資安永續的PDCA」。她引用BCI Horizon Scan Report 2022指出，若按發生率和嚴重性綜合評比，網路攻擊及資料外洩名列企業最大經營風險。她建議企業採用「資安永續神經元」（ESG-ACT）心法，以資安永續為軸心，週邊結合賦能（E）、安全（S）、治理（G）、問責（A）、合規（C）及科技（T）六項元素。

其中治理與合規息息相關，將兩者扣合，再透過PDCA持續精進與強化，堪稱企業落實資安永續的首要之務；具體措施為風險識別，意即企業須因應風險管理、產業特性、資安趨勢與威脅等面向推動資安作為，扎穩持續營運根基。

接著企業應循序建立當責機制，執行安全、供應商分級分類等工作。針對當前倍受關注的供應商安全議題，李珮君提出「供應商風險管理矩陣」參考架構，橫軸為系統重要程度，縱軸為仰賴供應商的程度，輔以紅黃綠燈號顯示，方便企業實施管控；針對高度仰賴供應商、且系統重要性較高的紅色區塊，企業需優先控管，建立供應商週期性查核制度。

兼顧安全、便利與整合，完美實現零信任防護

果核數位資安產品經理卓俊豪，分享果核基於零信任所推展的MDR資安服務。他強調不管自家橘子集團或外部單位，皆可委託果核提供24/7的SOC與NOC監控服務，維持良好資安防護。談到果核SOC中心的服務流程，當有事件觸發，會由一線人員即時通報給二線與三線的資安顧問、技術主管，探索最適合解方；因此果核不僅提供客戶事件通報，也可給予處置和應變建議。

除SOC外，果核也選用IBM QRadar EDR作為MDR服務架構基底。卓俊豪說，儘管企業已佈建防火牆、IPS、WAF、DLP…等諸多防護，但越來越多駭客慣用社交工程或釣魚郵件等手段，規避前述檢測機制，堂而皇之從端點進入企業內網。此時需借重EDR的AI偵測能力，輔以果核提供的事件處理、事件調查、補償措施等加值服務，補強端點威脅防禦環節，讓企業打造更完善的資安聯防架構。

奧登資訊工程經理邵富剛表示，身分認證與管理議題至為複雜，企業普遍面臨的挑戰大致有三，包含弱密碼、社交工程、憑證竊取與洩漏。為化解這些難題，各界紛紛倡議零信任架構，首先要能判斷正確人員，再搭配適當權限授予、存取正確資源，且持續進行評估。

奧登推廣的Okta零信任方案，不僅是通過政府身份鑑別驗證的合格廠商，更擅於在安全與方便間達到最佳平衡。以Okta的Fastpass功能為例，僅需在裝置上裝載軟體，即可同時實現抗網釣安全性、無密碼驗證方便性；另Okta開箱整合逾7,600支應用程式，省卻用戶客製化開發負擔，可謂一大亮點。

台灣IBM資訊安全技術顧問蔡睿誠表示，IBM悉心佈建資安事件生命週期管理架構，以單一次世代SOC平台回應組織裡所有資安事件，並結合機器學習式的可預測模型，或近年流行的生成式AI，協助企業加速查找資安告警重點，且箇中各項工具皆深具整合性與開放性，方便企業將既有資安工具整合為一致生態系。

IBM Security的整合式平台名為QRadar Suite，內含Randori Recon ASM（攻擊面分析管理）、EDR、Log Insights（日誌保存）、SIEM、SOAR等豐富元件；還提供名為UAX的核心工具，助用戶建構單一共通平台，集中統整所有事件，便於管理者實施「聯合搜尋」，僅需6步驟、少於10分鐘內便完成事件調查，有效協助企業組織達成威脅偵測與回應策略實施。

最後的壓軸演說，為貝爾國際檢驗認證集團總經理江有泰分享的「落實ESG永續治理，展現資安韌性」，將主軸放在ESG中的公司治理環節。

他身為ISO 27001稽核員與ESG查證員，曾稽核許多企業資訊安全管理系統與 ESG報告書，分享常見稽核缺失，多半不是肇因於技術問題，而是人的問題；所以如何借助資訊技術讓人為失誤降到最低，堪稱重要課題。

江有泰強調，展望今後可預見不管在社會、環境、地緣政治及科技的諸多變數，皆會影響企業未來生存，因此企業須著重風險管理、強化組織營運韌性。透過ESG永續報告書可完整呈現公司治理營運績效，算是風險識別的絕佳依據，甚至可用以預測明年度可能衝擊營運持續的事件。以公司治理為例，建議企業在編製ESG報告書時應關注資安與個人隱私議題，亦需對焦GRI、SASB、TCFD等指標，梳理組織概況、策略、倫理與誠信、治理、利害關係人溝通及報導實務等構的揭露內容，順勢釐清風險、著手改善，循序展開數位韌性策略。