去年年底金管會發布資通安全管理政策,將全台灣上市櫃公司劃分成一、二、三級,規範企業需設置資安長、資安專責單位及資安人員。對於有充足資源、權責分工明確的第一級上市櫃公司來說,可逐步完成合規建置的要求,而對於資源有限的近 1,500家二、三級上市櫃公司而言,隨著法規所訂的時程迫近,如何將資安管控與防護機制導入公司治理變得益發重要。

科技報橘與台灣微軟聯合舉辦《企業資安年度檢驗攻略》線上 Webinar,攜手眾多資安專家共同分享第一級企業的實戰經驗,以及點出企業佈建合規資安的重點要件,如何真正落實於營運核心當中,再為產業提供全方位的資安合規平台與指南

釐清資安長定位為首要任務,接著才是資安團隊的完善規劃!

安永諮詢服務股份有限公司資深經理白鎮瑋認為,無論企業是否有合規需求,在設置資安長與相關單位之前,首先要清楚資安長一角的定位,是協助公司拓展業務?還是單純管控內部的 IT 使用行為、降低資料外洩風險?顯然,前者才能讓資安長創造更大的價值。

原因在於,目前有些國家或特殊產業已經將資安規範列為標準配備,如果企業的產品或服務沒有符合資安標準,就不能進入該國銷售。回頭來看台灣,除了金管會規範外,還有很多資安相關的政策,如:企業若近年有投資資安產品/服務,即可以扣抵營業稅。

由此可知,資安長的責任就是,制定與產品/服務相應的安全政策,協助公司降低成本,或把產品帶到全世界。「尤其現今許多企業都在推動數位轉型,更應該讓資安長從轉型初期就參與,避免導入新的科技應用所帶來的新風險及確保合法合規」,微軟資安專家技術部副總周彥儒同樣強調資安之於企業的重要性。

舉例來說,在金管會的規範當中,第二級公司大多為科技製造或工業製造相關的產業,而製造業在轉型智慧製造過程中,工廠很多機器設備都逐步開始連網,產生新的資安威脅,製造業若沒有事先做好防禦規劃,就像為駭客開了一道方便大門,讓駭客可以藉著 OT 資安破口進入內網

若要避免 OT 安全成為資安破口,製造業在做轉型規劃時,就要有監測 OT 網路的機制,如:微軟 Defender for IoT 可以在場域蒐集相關 log,監測網路流量是否為惡意流量,同時要將 IT OT 情資整合在同一個平台,如:透過 Microsoft Sentinel 雲原生 SIEM 解決方案𢑥整 OT 情資,瞭解駭客從哪些點進來、如何進來及攻擊手法,才能做好全面的防禦規劃。

而在釐清資安長的定位後,就可以編制資安專責單位DEVCORE 戴夫寇爾執行長翁浩正認為,將資安事件分成事前、事中及事後,將這三個各自需要的資安防禦工作羅列出來,就知道該朝哪一個面向培育人才

值得注意的是,企業不只要培育內部資安人才,更要定期針對全體員工進行資安教育訓練,建立員工的資安意識,不會輕易被釣魚郵件所騙,也不會輕易開啟惡意連結或下載檔案,才能加固企業的資安防禦網。

當企業有了資安長、資安專責人員,並建立員工正確的資安認知後,在技術端就可以委外給專業資安團隊來負責,畢竟資安攻擊手法不斷翻新,但企業的資源卻有限,資安長的任務不是組建最完整的團隊,而是要以簡馭繁,適時引入符合企業現況所需的資安協力團隊,一起打造堅固的資安防禦網。

而在《企業資安年度檢驗攻略》論壇上,亦邀請三個資安領域專家,分別「資安規劃」、「資安監控」及「零信任」三個面向做深度討論,協助企業從不同面向進行資安健檢。

NIST 網路安全架構,逐步加固資安防禦網

登豐數位科技總經理黃建笙建議,企業應參照美國 NIST 發佈的網路安全架構 Cyber Security Framework Cyber Security Framework IdentifyProtectDetectRespond Recover 五個面向來規劃。

首先透過 Identify 進行弱點修復、風險管理及策略擬定,再藉由 Protect 針對已知威脅進行防護,且防護作為不會影響服務運作,並且要時時 Detect 偵測未知的惡意行為。

倘若不幸發生資安事件,則要透過 Respond 動用組織所有資源,針對攻擊做出防禦,這也是現今經常在談的企業韌性,如何快速回應攻擊並將被破壞的地方修補好,讓組織運作恢復正常。最後 Recover 是將受損害的服務,將服務回復至 SLA 相同的基準。

「這五大面向各自需要不同的資安解決方案,而微軟提供 Microsoft EDRMicrosoft DefenderSentinelAzure 資訊保護……等多元解決方案,可以充份滿足企業在這五個面向的需求。」黃建笙強調。

透過情資搜集與分析,即時將駭客擋在門外

在根據 NIST 準則規劃資安防禦網時,宏碁雲架構產品總監郭孟鈞認為,絕對不能少了 SIEM SOC 資安監控服務

SIEM 是搜集數據的資安基礎平台,企業可以透過 SIEM 大量蒐集情資,再結合 AI 分析找出潛在攻擊,例如宏碁雲就曾經幫某製造業客戶進行資安規劃,以 Microsoft Sentinel 作為雲端 SOC 的底層 SIEM 平台,搜集 Azure ADAzure FirewallAzure VMAzure WAFIaaS Server、第三方 Palo Alto 資安設備、其他平台等不同系統和服務的 Log,以確保雲端安全。

倘若企業資安人力不足,則可使用由 SIEM 向上發展出的 SOC 資安監控服務,運用外部專業服務 7X24 小時不間斷地偵測資安威脅,並即時預警,將資安風險降到最低。

如:宏碁雲便與台灣微軟合作推出台灣第一家 Cloud SOC TDRS 服務,採用雲端原生保護工具/Services/Connetcors/API,將散落在各地的 Log 蒐集在單一平台,由宏碁雲 Cloud-SOC 監控中心進行自動化處理、分析及 7X24 小時監控,即時將駭客擋在門外。

以零信任思維落實身份驗證,擋掉 98% 資安攻擊

伊雲谷雲端解決方案架構師曾儀婷則提出零信任的重要性。因應混合辦公趨勢,企業應以零信任原則重新架構身份驗證機制,周彥儒亦引述微軟調查指出,98% 的資安攻擊和身份驗證與存取控制有關,企業只要做好身份驗證,就可擋掉 98% 的資安攻擊。

要做到零信任有二大關鍵,第一個是以強身份驗證機制,驗證存取者是否為本人,並以最小權限為原則,配予相應的權限,而微軟雲端式身分識別與存取管理(Azure Active DirectoryAAD)、微軟多重身份驗證 MFA,都是可以落實強身份驗證機制的解決方案。

第二個關鍵是,以風險為根據的條件式存取,亦即根據設備、ID、人員、身份識別方式……等條件,設定在不同狀況下的存取範圍。舉例來說,IP 位址要在台灣、設備要上最新的 Patch 才能登入公司系統。

刻不容緩的資安建置要求!如何找到正面助益、加乘營運效益?

企業構建資安管理的重要性現已廣為人知,更多樣化的攻擊風險代表企業在思考資安議題時,再也無法單純從技術產品面評估,防禦範圍也不單只是 IT 部門的責任,若不即刻部署資安,很可能會直接擴大到企業營運面。

且又加上金管會資安準則時限接近,企業不只是引進資安長和資安團隊,還要把握「以簡馭繁」的原則,在法遵合規基礎上,委託專業資安廠商協助制定資安營運相關策略,將有限資源做最佳化分配,才能提高企業營運效率,且更有效地強化企業資安韌性。

>>Microsoft Security 免費試用

>>立即下載微軟【企業的法遵挑戰與行動指南】白皮書,詳解法規精華內容與對應解方