只有駭客瞭解駭客 戴夫寇爾用攻擊驗證企業防禦
「資訊安全」一直以來在各行業現場屢被提及,企業對於資安舉措往往把資源放在事前預防,但是 DEVCORE 戴夫寇爾執行長翁浩正想跟大家說的是,「只重事前預防是錯誤的,重點在於企業的資安工作如何幫助企業能夠快速應變!」
DEVCORE戴夫寇爾執行長翁浩正認為企業的快速應變能力才是資安工作的重點。 蔡尚勳/攝影
不涉及資安產品及驗證,公司員工以「駭客任務」見長,以公正第三方、運用駭客思維及技巧進行滲透測試,並提供資安顧問服務。翁浩正指出,資訊安全的流程往往是「識別、保護、偵測、回應及回復」。相較於事前預防的「保護」,資安部署須更著重在其它四個部分,在許多企業當中,真正的問題大部分是:企業沒有「識別」出可能的資產的風險、不知道要針對哪些地方進行「偵測」,那當發生資安事件時,後續的回應及回復自然無法達到當初的期望。他更強調,企業在「回應」項目的資安部署甚至低於兩成!
全球正從疫情重挫的瓦礫堆中慢慢站起腳步,這時企業自身的 BCP(Business Continuity Plan, 企業持續營運計劃,或稱業務持續營運計劃)又再度受到重視。翁浩正針對企業 BCP 的看法是:「企業最需要的思考其實是會影響企業營運的到底是什麼業務。電商、網路服務跟線上遊戲最主要的營運核心是『不可中斷的服務』,而電商可能也包含客戶的個資;而中大型企業最重要的可能會是核心系統裡面的資料,如金融業可能是轉帳的系統、製造業可能是營業配方或生產系統等。」
這段時間以來,不少企業因疫情隔離政策開始導入 WFH (Work From Home) 在家上班模式,即使目前多數企業已回到辦公室上班。專注於企業 BCP 計劃的 Cloudmax 匯智認為,在後疫情時代,各行各業因 WFH 結束後,企業 IT 建置不應就此暫停,應隨時做好萬全準備。翁浩正也提醒企業對於遠距工作仍須具備風險意識,並做好企業自我檢視的準備,包含界定信任範圍、限制 VPN 連線使各權限最小化;採購服務如 SSL 或 VPN 產品本身是不是安全的?本身有無漏洞?應當監控哪些連入行為?負責資安維運的團隊是否專業足以即時應變?如果這個點成為破口對企業會有怎樣的影響?
企業對於遠距工作仍須具備風險意識。 DEVCORE /提供
翁浩正最後也強調,對於資訊安全企業最容易忽略的地方,如防護網的漏洞管理、密碼管理問題、輕忽資產軟體或集中控管系統的重要性。「這些聽起來都是老生常談,但這些問題一直沒有獲得解決;原因除了前面所提的,企業在『識別』上並不完整外,另一個原因是當老生常談碰到老舊系統,常常最後的決策都是選擇擱置或接受風險,避免影響系統運作」。儘管近年來,有賴於政府部門的倡導與推動,企業對於資訊安全的意識有普遍提高,但資安的預算可能仍然不足或有資源錯置現象發生,其根本的原因來自於企業無法確認現有的防禦機制是否足夠安全。舉例來說,企業規模的大小同時也表示企業能被攻擊的面積可能增加,因此並不是企業規模大投入的資源多,就相對比較安全,而是找到對的長期合作夥伴,持續挑戰自己的防禦假設找出正確的資安資源投放順序,才能在資安威脅不斷增溫下,具備足夠的防禦能量。
翁浩正帶領一群專精於駭客攻擊分析的資安專家。 蔡尚勳/攝影
【關於 2021 中小企業持續營運計劃入門手冊】
本手冊於今年 12 月由 Cloudmax 匯智資訊股份有限公司發佈,旨在幫助各類型企業在新冠肺炎疫情 (COVID-19) 爆發後,能順利跨出第一步啟動 BCP 計劃,強健體質以面對未知的災害,讓企業達成持續營運不中斷之目的。手冊集結國內外數位產業先驅的數據見解、專業知識與產業經驗,收錄目前的產業現況、問題及未來趨勢,分析歸納 BCP 企業持續營運計劃之規劃方向及實行重點,使任何企業皆能獲得可依循之持續營運方針。立即下載手冊:https://www.cloudmax.com.tw/whitepaper/bcp-white-paper。
本篇文章由經濟日報於 2020/8/4 發佈,新聞連結:https://money.udn.com/money/story/10860/4756396。
