【资安周报第64期】唯有人员、流程和技术三项彻底到位，资安才是

iThome

资安很重要，对许多企业资安人员和主管而言，到底应该要怎么做才能真正做好资安，一直是非常困扰的事情。但是，对于富邦金控副总经理李相臣、星展银行金融犯罪防治调查暨企业安全部资深副总裁徐子文，以及联发科IT本部协理刘锡麟而言，「资安要做好，就一定要玩真的。」

iThome电脑报日前举办第三届台湾资安大会，也加开一场针对台湾资讯和资安主管的封闭式「台湾资安大会CISO论坛」，邀请李相臣、徐子文和刘锡麟到场座谈。面对越来越複杂的网路攻击，越来越严格的法规遵循要求，甚至越来越难做到的资安防御，企业或政府的资安人员也越来越不知道，到底应该怎么做，才能够真正把资安这件事情做好。

不论是富邦金控、星展银行甚至是联发科这三间公司，彼此之间的产业型态、规模甚至是营运模式，或许都有所差异，但要做好资安的背后，三家企业其实都有共通的準则，那就是，务必要落实所有对于人员（People）、流程（Process）和技术（Technology）的资安规定，就是资安玩真的证明。

这对很多资安人员虽然都是老生常谈，但是，做好资安的秘诀无他，只要可以真正的落实资安政策和作为，企业都能严正看待资安这件事情，就是企业能够做好资安的关键。

人员：态度要积极，千万不能怠惰

企业到底能把资安做到多好的关键，李相臣认为，资安人员的态度是非常重要的参考指标，只有资安人员够重视、够在乎，他们才愿意主动去了解现在到底有哪些资安威胁，主动掌握资安趋势，甚至于愿意主动学习各种相关的技能。「企业如果没有在意资安的资安人员，侈言资安对企业到底有多重要。」他说，车子开久会有毛病要保养，系统软硬体用久也得做修补，没有滴水不漏的资安防护，因此，资安人员态度也决定企业怎么看待，大到资安政策落实，小到系统漏洞修补的执行程度。

除了有态度，刘锡麟认为，资安人员所展现的工作效率也很重要。他也坦言，联发科每天要收集的Log种类就超过一千种以上，从早上上班到远端连线，甚至是出差等等，每一个环境都要留存不同的Log。

除了要设法利用系统取代IT人员看Log外，他表示，企业更大的挑战在于，资安人员经手的每一件事情是否做到确实？是否有所怠惰？毕竟，资安人员的一个疏漏，都可能造成公司智慧财产权外洩或影响公司营运，资安人员在执行每一个环节和流程，是否可以真正掌握工作细节就很重要。

「企业对资安人员的要求必须更严格，不要让无法负责、怠惰型态的资安人员在资安团队里面。」刘锡麟说，每一个资安细节一定要检视，如果过了一个月后才发现很多细节疏漏，中间空窗期可能会出现很多资安事件，也因此，资安人员不能自满，因为对细节的要求永远都不够。

台湾人工作努力也很聪明，但是「管理」一直都落于人后，以星展银行而言，徐子文表示，新加坡9成是华人，他们可以做好资安就是因为「玩真的」，规定其实和其他公司都一样，但是却可以因为公司的超级业务违反公司的资安準则，狠下心直接开除就是证明。

他也认为，负责安全的主管也必须非常有耐性，要能够不厌其烦的把公司的资安政策和作法，一而再、再而三的重複讲清楚，只要是重要的事情，不管是30次还是300次都要说，并且对于对的事情要一以贯之，讲久大家才会当真。就像在军舰上的指挥官一样，唯一的武器就是麦克风，相信每个人会把自己的分内事情做好，他就负责下达「正确的指令」，这就是资安主管的责任。

流程：从每起资安事件学习资安因应流程

刘锡麟认为，台湾企业很幸运，有很多专业的资安公司可以引进欧美日韩等最新的资安技术和标準，让各个公司在资安、风险、政策、控管和系统建置上，都有基本的运作水準，但是，联发科更在意的其实就是如何在流程上彻底落实，避免一个疏忽、一个缓慢，就会产生资安风险。

他进一步解释，联发科一年有15～25个研发晶片开发，由坐落在英国、芬兰、印度、新加坡、美国和中国等全球27个研发中心合作开发完成，并可以顺利将测试完毕的产品回传台湾，在这个研发流程如果有任何风险，就会严重影响公司营运。

所以，联发科在每一座研发中心都是先定义出不同层级的风险，不论是资料交换或者是软硬体产品的验证等，每一个流程都必须经过严格的授权程序才能执行，而每一个定义出来的流程，就会搭配适当的管控机制和Log蒐集。

刘锡麟表示，当公司知道风险在哪里，知道有哪些控制项目时，落实每一个流程控管就是企业落实资安的管控措施。不过，他也提醒，企业经常面临流程调整，每个企业至少6个月就应该要因应流程的调整，重新检视控制项目和细节是否有随之调整的必要性。

因为没有百分之百的资安防御措施，不论怎么防，都还是会有风险产生，也可能发生资安事件。所以，徐子文指出，好的资安控管流程不是只有具备防御能力，更重要的是，要有解决并处理资安事件的能力。

像是主管机关往往会惩罚主动揭露资安事件的业者，甚至认为一年都没有爆发任何一起资安事件的企业才是模範企业，徐子文就认为，主管机关不应该处罚有能力发现问题的企业和资安人员，更重要的是，是否可以从这个资安事件的流程中，学习到事情怎么发生，并且知道事情该怎么解决。

他说：「如果企业可以从发生的这起资安事件，学习到攻击手法并且知道如何因应解决之道，所有付出的成本就不会是浪费，就会是企业提升资安应变能力的学费。」而对星展银行而言，因为有一个独立的调查单位，就可以想尽各种方式起诉捉到的坏人。

徐子文表示，企业尽可能提供所有可以找到的犯罪资讯，提供给检警调等具有公权力的单位侦办，因为抓到坏人就是恶意各种网路犯罪最好的工具，而搭配起诉的手段，就可以进一步从检警调单位中，了解并掌握真实的犯罪手法，就可以进一步可以回馈到企业内部的防範流程。他认为，这样的流程就会成为一个正向循环，对企业资安也有正面帮助。

技术：大胆设黑名单，防範不必要的资安威胁

从网路犯罪观点来看，李相臣表示，最早的资安事件只是电脑病毒破坏电脑程式或磁碟，到后来有木马程式偷资料，或者是骇客利用DDoS攻击手法瘫痪网路服务，近期热门的则是会加密使用者电脑的勒索软体。这些网路犯罪技术都显而易见，但他认为，最麻烦的就是骇客入侵系统却只偷一笔或特定人的资料，这种针对性攻击的手法，往往很难被发现。

因此，要如何有效的防範这些资安事件，李相臣认为，重点在于要让「坏人进得来、出不去。」也就是说，当骇客入侵企业内部时，必须透过各种纵深防御的方式，阻断骇客由内而外的通讯联繫，也因此，他也特别关注内部员工所使用的电脑安全，并且要减少员工不安全的上网行为，提高企业的网路和电脑的安全性。他也建议，因为许多垃圾邮件隐含很多珍贵资讯，企业资安人员其实可以在第一层，就侦测到有哪些病毒、锁定哪些目标，提早预警。再者，李相臣建议，企业应该要留意有哪些心怀不轨的骇客和手法，如果有人不停的扫描自家企业的IP时，「大胆设黑名单」也是一种好的资安因应策略。

刘锡麟则以自身经验建议，企业建置的系统一定要定期强化，可以适时引进外部的专家协助企业补强系统安全性，6个月一次的强化检视措施，都有助于企业维持一定的资安技术强度。