【资安周报第64期】唯有人员、流程和技术三项彻底到位,资安才是
iThome
资安很重要,对许多企业资安人员和主管而言,到底应该要怎么做才能真正做好资安,一直是非常困扰的事情。但是,对于富邦金控副总经理李相臣、星展银行金融犯罪防治调查暨企业安全部资深副总裁徐子文,以及联发科IT本部协理刘锡麟而言,「资安要做好,就一定要玩真的。」
iThome电脑报日前举办第三届台湾资安大会,也加开一场针对台湾资讯和资安主管的封闭式「台湾资安大会CISO论坛」,邀请李相臣、徐子文和刘锡麟到场座谈。面对越来越複杂的网路攻击,越来越严格的法规遵循要求,甚至越来越难做到的资安防御,企业或政府的资安人员也越来越不知道,到底应该怎么做,才能够真正把资安这件事情做好。
不论是富邦金控、星展银行甚至是联发科这三间公司,彼此之间的产业型态、规模甚至是营运模式,或许都有所差异,但要做好资安的背后,三家企业其实都有共通的準则,那就是,务必要落实所有对于人员(People)、流程(Process)和技术(Technology)的资安规定,就是资安玩真的证明。
这对很多资安人员虽然都是老生常谈,但是,做好资安的秘诀无他,只要可以真正的落实资安政策和作为,企业都能严正看待资安这件事情,就是企业能够做好资安的关键。
人员:态度要积极,千万不能怠惰
企业到底能把资安做到多好的关键,李相臣认为,资安人员的态度是非常重要的参考指标,只有资安人员够重视、够在乎,他们才愿意主动去了解现在到底有哪些资安威胁,主动掌握资安趋势,甚至于愿意主动学习各种相关的技能。「企业如果没有在意资安的资安人员,侈言资安对企业到底有多重要。」他说,车子开久会有毛病要保养,系统软硬体用久也得做修补,没有滴水不漏的资安防护,因此,资安人员态度也决定企业怎么看待,大到资安政策落实,小到系统漏洞修补的执行程度。
除了有态度,刘锡麟认为,资安人员所展现的工作效率也很重要。他也坦言,联发科每天要收集的Log种类就超过一千种以上,从早上上班到远端连线,甚至是出差等等,每一个环境都要留存不同的Log。
除了要设法利用系统取代IT人员看Log外,他表示,企业更大的挑战在于,资安人员经手的每一件事情是否做到确实?是否有所怠惰?毕竟,资安人员的一个疏漏,都可能造成公司智慧财产权外洩或影响公司营运,资安人员在执行每一个环节和流程,是否可以真正掌握工作细节就很重要。
「企业对资安人员的要求必须更严格,不要让无法负责、怠惰型态的资安人员在资安团队里面。」刘锡麟说,每一个资安细节一定要检视,如果过了一个月后才发现很多细节疏漏,中间空窗期可能会出现很多资安事件,也因此,资安人员不能自满,因为对细节的要求永远都不够。
台湾人工作努力也很聪明,但是「管理」一直都落于人后,以星展银行而言,徐子文表示,新加坡9成是华人,他们可以做好资安就是因为「玩真的」,规定其实和其他公司都一样,但是却可以因为公司的超级业务违反公司的资安準则,狠下心直接开除就是证明。
他也认为,负责安全的主管也必须非常有耐性,要能够不厌其烦的把公司的资安政策和作法,一而再、再而三的重複讲清楚,只要是重要的事情,不管是30次还是300次都要说,并且对于对的事情要一以贯之,讲久大家才会当真。就像在军舰上的指挥官一样,唯一的武器就是麦克风,相信每个人会把自己的分内事情做好,他就负责下达「正确的指令」,这就是资安主管的责任。
流程:从每起资安事件学习资安因应流程
刘锡麟认为,台湾企业很幸运,有很多专业的资安公司可以引进欧美日韩等最新的资安技术和标準,让各个公司在资安、风险、政策、控管和系统建置上,都有基本的运作水準,但是,联发科更在意的其实就是如何在流程上彻底落实,避免一个疏忽、一个缓慢,就会产生资安风险。
他进一步解释,联发科一年有15~25个研发晶片开发,由坐落在英国、芬兰、印度、新加坡、美国和中国等全球27个研发中心合作开发完成,并可以顺利将测试完毕的产品回传台湾,在这个研发流程如果有任何风险,就会严重影响公司营运。
所以,联发科在每一座研发中心都是先定义出不同层级的风险,不论是资料交换或者是软硬体产品的验证等,每一个流程都必须经过严格的授权程序才能执行,而每一个定义出来的流程,就会搭配适当的管控机制和Log蒐集。
刘锡麟表示,当公司知道风险在哪里,知道有哪些控制项目时,落实每一个流程控管就是企业落实资安的管控措施。不过,他也提醒,企业经常面临流程调整,每个企业至少6个月就应该要因应流程的调整,重新检视控制项目和细节是否有随之调整的必要性。
因为没有百分之百的资安防御措施,不论怎么防,都还是会有风险产生,也可能发生资安事件。所以,徐子文指出,好的资安控管流程不是只有具备防御能力,更重要的是,要有解决并处理资安事件的能力。
像是主管机关往往会惩罚主动揭露资安事件的业者,甚至认为一年都没有爆发任何一起资安事件的企业才是模範企业,徐子文就认为,主管机关不应该处罚有能力发现问题的企业和资安人员,更重要的是,是否可以从这个资安事件的流程中,学习到事情怎么发生,并且知道事情该怎么解决。
他说:「如果企业可以从发生的这起资安事件,学习到攻击手法并且知道如何因应解决之道,所有付出的成本就不会是浪费,就会是企业提升资安应变能力的学费。」而对星展银行而言,因为有一个独立的调查单位,就可以想尽各种方式起诉捉到的坏人。
徐子文表示,企业尽可能提供所有可以找到的犯罪资讯,提供给检警调等具有公权力的单位侦办,因为抓到坏人就是恶意各种网路犯罪最好的工具,而搭配起诉的手段,就可以进一步从检警调单位中,了解并掌握真实的犯罪手法,就可以进一步可以回馈到企业内部的防範流程。他认为,这样的流程就会成为一个正向循环,对企业资安也有正面帮助。
技术:大胆设黑名单,防範不必要的资安威胁
从网路犯罪观点来看,李相臣表示,最早的资安事件只是电脑病毒破坏电脑程式或磁碟,到后来有木马程式偷资料,或者是骇客利用DDoS攻击手法瘫痪网路服务,近期热门的则是会加密使用者电脑的勒索软体。这些网路犯罪技术都显而易见,但他认为,最麻烦的就是骇客入侵系统却只偷一笔或特定人的资料,这种针对性攻击的手法,往往很难被发现。
因此,要如何有效的防範这些资安事件,李相臣认为,重点在于要让「坏人进得来、出不去。」也就是说,当骇客入侵企业内部时,必须透过各种纵深防御的方式,阻断骇客由内而外的通讯联繫,也因此,他也特别关注内部员工所使用的电脑安全,并且要减少员工不安全的上网行为,提高企业的网路和电脑的安全性。他也建议,因为许多垃圾邮件隐含很多珍贵资讯,企业资安人员其实可以在第一层,就侦测到有哪些病毒、锁定哪些目标,提早预警。再者,李相臣建议,企业应该要留意有哪些心怀不轨的骇客和手法,如果有人不停的扫描自家企业的IP时,「大胆设黑名单」也是一种好的资安因应策略。
刘锡麟则以自身经验建议,企业建置的系统一定要定期强化,可以适时引进外部的专家协助企业补强系统安全性,6个月一次的强化检视措施,都有助于企业维持一定的资安技术强度。
- 上一篇
加拿大情趣电动按摩器製造商擅自蒐集使用者资讯以375万美元和解
图片来源: We-Vibe 位于加拿大的情趣电动按摩器製造商We-Vibe因擅自蒐集使用者在使用该装置时的温度与振动频率等使用细节,因而被两名女性告上法院,近日同意以375万美元和解。 We-Vibe所生产的We-Vibe 4 Plus得以透过名为We-Connect的手机程式控制,包括从
- 下一篇
资安长的聪明工作秘诀,前美国国家地理空间情报局资安长告诉你
「任何希望想要变成资安长的人,小心你许的愿望」,曾担任过美国国家侦查局、美国国家地理空间情报局资安长的Lance Dubsky,打趣地说着,资安长这份工作让头髮茂密的人也会变成光头。 过去Lance Dubsky得到处视察美国空军亚洲各地基地的资安基础架构,现在则
相关文章
- FGO人物逸闻,fgo北斋葛饰为什么叫阿荣?
- 赛尔号中的索兰特是邪灵组织吗?索兰特和布莱克什么关系
- Xbox买会员服务可以玩所有游戏吗
- 火影忍者:忍界中的四大伪君子分别是谁?大野木,神农,四代风影上榜。
- 神印王座谁赢了:龙皓晨对战杨文昭谁厉害,龙皓晨是怎样打败杨文昭
- 杨文昭和陈樱儿在一起吗?
- 喜羊羊全员基因转变成狼族,造型高冷炫酷,美羊羊的各种姿态!
- 颜艺才是本体!《狂赌之渊》真人版的学生会长终于涂上了蓝色口红,狂赌之渊学生会成员有哪些
- 史莱姆第15话:利姆露赐予鬼人职务,紫苑完全不适合,朱菜没变化,转生史莱姆结局
- 《杀手6》游侠LMAO 8.3完整内核汉化补丁下载发布!杀手6怎么玩,杀手6通关攻略大全